Nome del virus:BDS/Agent.adqk
Scoperto:11/02/2009
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:522.240 Byte
Somma di controllo MD5:8bb79f893731b93813a09091137908fc
Versione IVDF:7.01.02.06 - mercoledì 11 febbraio 2009

 Generale Metodi di propagazione:
   • Autorun feature (it)
   • Rete locale
   • Messenger


Alias:
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/AutoRun.Agent.JD
   •  Bitdefender: Trojan.Generic.1704532


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\wmiprvse.exe
   • %unità disco%\RECYCLER\%CLSID%\openfiles.exe



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\RECYCLER\%CLSID%\Desktop.ini

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\WMIMGIN]
   • "Description"="Provides control and info about management."
   • "DisplayName"="WMI Management App"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,53,00,65,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\wmiprvse.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Viene cambiata la seguente chiave di registro:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   Nuovo valore:
   • "WaitToKillServiceTimeout"="7000"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– AIM Messenger
– MSN Messenger

 “Infezione” della rete Exploit:
Sfrutta le seguenti vulnerabilità:
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene il primo ottetto dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: sec.re**********.info
Porta: 8085
Password del server: 3v1l$
Canale: #sploit
Nickname: [00|USA|XP|%numero%]


– In più ha la capacità di effettuare azioni quali:
    • Eseguire file
    • Effettuare scansione della rete
    • Arrestare il sistema
    • Aggiornarsi

 Backdoor Viene aperta la seguente porta:

– explorer.exe sulla porta TCP 33097 con lo scopo di procurarsi un server HTTP.

 Varie Anti debugging
Verifica se è presente uno dei seguenti file:
   • \\.\SICE
   • \\.\NTICE


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 25 febbraio 2010
Descrizione aggiornata da Petre Galan su venerdì 26 febbraio 2010

Indietro . . . .