Nome del virus:BDS/VB.awr.35
Scoperto:19/03/2007
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:420.299 Byte
Somma di controllo MD5:ecf789e622ab53b9761595f51e63423a
Versione VDF:6.38.00.74
Versione IVDF:6.38.00.76 - lunedì 19 marzo 2007

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.VB.awr
   •  F-Secure: Backdoor.Win32.VB.awr


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\scvhost.exe



Vengono creati i seguenti file:

– File “non maligno”:
   • %WINDIR%\MSWINSCK.OCX

%SYSDIR%\offlog.txt Questo file contiene le battute di tastiera recuperate.

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RUNSERVICES]
   • "Windows Update"="%WINDIR%\scvhost.exe"
   • "msconfig"="%WINDIR%\scvhost.exe"
   • "icq lite"="%WINDIR%\scvhost.exe"
   • "Update Checker"="%WINDIR%\scvhost.exe"
   • "AntiVir"="%WINDIR%\scvhost.exe"
   • @="%WINDIR%\scvhost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update"="%WINDIR%\scvhost.exe"
   • "msconfig"="%WINDIR%\scvhost.exe"
   • "icq lite"="%WINDIR%\scvhost.exe"
   • "Update Checker"="%WINDIR%\scvhost.exe"
   • "AntiVir"="%WINDIR%\scvhost.exe"
   • @="%WINDIR%\scvhost.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%WINDIR%\scvhost.exe"

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • dl1.avgate.net
   • dl2.avgate.net
   • dl3.avgate.net
   • dl4.avgate.net
   • dl5.avgate.net
   • dl6.avgate.net
   • dl7.avgate.net
   • dl8.avgate.net
   • dl9.avgate.net


 Backdoor Contatta il server:
Il seguente:
   • arcrol3**********:1338

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.

Descrizione inserita da Gabriel Mustata su venerdì 16 marzo 2007
Descrizione aggiornata da Andrei Gherman su lunedì 26 marzo 2007

Indietro . . . .