Nome del virus:BDS/Rukap.BQ
Scoperto:13/12/2006
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:82.432 Byte
Somma di controllo MD5:ad2b75dfc3df41f89a6c100f0e2b7a05
Versione VDF:6.35.01.100
Versione IVDF:6.35.01.101

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: BackDoor-CZY
   •  Kaspersky: Backdoor.Win32.Rukap.bq
   •  Grisoft: BackDoor.Generic3.HPB
   •  Eset: Win32/Rukap.BQ
   •  Bitdefender: Backdoor.Rukap.BQ


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\DirectRomp\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\DirectRomp]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%directory di esecuzione del malware%/%file eseguiti%"
     "DisplayName"="DirectX Service"
     "ObjectName"="LocalSystem"
     "Description"="Improve the performance of games and multimedia programs"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\DirectRomp]
   • "luko"="%stringa di caratteri casuale%"

 Backdoor Viene aperta la seguente porta:

%directory di esecuzione del malware%/%file eseguiti% sulla porta TCP 2773 con lo scopo di procurarsi un server proxy Socks 5.


Contatta il server:
Tutti i seguenti:
   • http://www.ruspromotion.net/site/**********
   • http://www.clicking2rewards.com/**********
   • http://www.stormpay.com/**********
   • http://www.megacashclicks.net/**********

Una volta connesso recupera una lista di server supplementare.

 Varie Anti debugging
Verifica se è presente il seguente file:
   • SoftIce


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PESpin

Descrizione inserita da Monica Ghitun su mercoledì 13 dicembre 2006
Descrizione aggiornata da Monica Ghitun su giovedì 21 dicembre 2006

Indietro . . . .