Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Poison.bhtb
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:141.974 Byte
Somma di controllo MD5:0533106debc8926d7d927b93255ae66f

 Generale Metodi di propagazione:
    Funzione di esecuzione automatica
    Messenger
   • Peer to Peer


Alias:
   •  Sophos: Mal/Generic-A
   •  Panda: W32/P2Pworm.HK
   •  Eset: Win32/AutoRun.IRCBot.CX
   •  Bitdefender: Backdoor.Generic.288840


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %unit disco%\wdisvcwks.exe
   • %WINDIR%\wdisvcwks.exe



Viene creato il seguente file:

%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   •




Prova ad eseguire i seguenti file:

Nome del file:
   • netsh firewall add allowedprogram wdisvcwks.exe 1 ENABLE


Nome del file:
   • "%WINDIR%\wdisvcwks.exe"

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Wks "="wdisvcwks.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Wks "="wdisvcwks.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%file eseguiti%"="%file eseguiti%:*:Enabled:Wks "

 P2P Per infettare altri sistemi della comunit della rete Peer to Peer, viene eseguita la seguente azione:   Cerca le directory che contengono una delle seguenti sottostringhe:
   • winmx\shared\
   • tesla\files\
   • limewire\shared\
   • morpheus\my shared folder\
   • emule\incoming\
   • edonkey2000\incoming\
   • bearshare\shared\
   • grokster\my grokster\
   • icq\shared folder\
   • kazaa lite k++\my shared folder\
   • kazaa lite\my shared folder\
   • kazaa\my shared folder\

   Se riuscito, i seguenti file vengono creati:
   • Windows7 keymaker.exe
   • Windows Vista maker.exe
   • Windows Xp SP3 Keygen.exe
   • Msn Messenger.exe
   • Live Messenger.exe
   • Itunes.exe
   • Realplayer.exe
   • Sony Vegas.exe
   • Hack Hotmail.exe


 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

 AIM Messenger
 MSN Messenger

L'URL si riferisce cos a una copia del malware descritto. Se l'utente scarica ed esegue questo file, il processo virale ricomincia di nuovo.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: mx.rvs**********.com
Porta: 7665
Canale: #Prison-Break2#
Nickname: [CUP|USA|00|P|%numero%]

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su mercoledì 9 giugno 2010
Descrizione aggiornata da Petre Galan su mercoledì 9 giugno 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.