Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Cycbot.B.735
Scoperto:26/11/2010
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
Dimensione del file:190.976 Byte
Somma di controllo MD5:035D0EAC0267B776C68157A9F5E06F33
Versione VDF:7.10.06.152
Versione IVDF:7.10.14.113 - venerdì 26 novembre 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.Gbot.hgd
   •  TrendMicro: BKDR_CYCBOT.SMIB
     Microsoft: Backdoor:Win32/Cycbot.B


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %TEMPDIR%\csrss.exe



Modifica il seguente file:
   • %APPDATA%\Mozilla\Firefox\Profiles\f81lb9un.default\prefs.js
Di conseguenza, vari meccanismi di sicurezza sono disabilitati.



Viene creato il seguente file:

%APPDATA%\A896.542 Contiene parametri utilizzati dal malware.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HCKU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%TEMPDIR%\csrss.exe"



Viene aggiunta la seguente chiave di registro:

[HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000001



Viene cambiata la seguente chiave di registro:

Livello basso nelle impostazioni di sicurezza di Internet Explorer:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:%numero%"

 Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
   • Avast
   • Avira
   • Dr.Web
   • Kaspersky
   • McAfee
   • ESET NOD32
   • Norton
   • BitDefender


 Backdoor Le seguenti porte sono aperte:

%file eseguiti% su una porta TCP casuale con lo scopo di procurarsi un server proxy.
%file eseguiti% su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.

 Sottrazione di informazioni  Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di tracciamento:
   • .2mdn.; .abmr.; .adtechus.; .aol.; .atdmt.; .atwola.;
      .autodatadirect.; .bing.net; .dartsearch.; .doubleclick.; .ggpht.;
      .google; .ivwbox.; .mapquestapi.; .microsoft.; .opera.; .tacoda.;
      .thawte.; .tlowdb.; .truveo.; .virtualearth.; .wsod.; .yimg.com;
      .ypcdn.; amazon.; aol/search; aolcdn.; aolsvc.; bing.com;
      bing.com/search; blogger; brightcove.com; doubleclick.; ebay.; err069;
      facebook.; flickr; google-analytics.; google.; googlesyndication.;
      googleusercontent.; gstatic.; imdb.; mapq.st; scorecardresearch.com;
      search.aol.; search.yahoo.com/search; searcht2.aol.; start=; start=0;
      suche.aol.; twitter.; wikimedia.; wikipedia.; yahoo.; yahoo.com;
      youtube.; ytimg.
     Traffico internet

 Varie Accede alle risorse Internet:
   • http://bigbadhead.**********/blog/images/%numero%.jpg;
      http://crazyleafdesign.**********/blog/images/share/facebook.png;
      http://crazyleafdesign.**********/blog/images/share/stumble.png;
      http://ddossecureonline.**********/blog/images/%numero%.jpg;
      http://folusho.**********/wp-content/uploads/2010/09/web-20-what-is-300x251.jpg;
      http://freeservermonitorings.**********/blog/images/%numero%.jpg;
      http://freewhoisdb.**********/blog/images/%numero%.jpg;
      http://fxsystemsone.**********/blog/images/%numero%.jpg;
      http://gravatar.**********/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be1;
      http://gravatar.**********/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be2;
      http://greenherbalteaonline.**********/images/greenherbalteagirlholdingcup250.gif;
      http://healthylifenow.**********/templates/7348/images/header_logo.jpg;
      http://healthylifenow.**********/templates/7349/images/header_logo.jpg;
      http://hlamidioz.**********/blog/images/%numero%.jpg;
      http://hollandandbarrett.**********/images/footer/account.gif;
      http://hollandandbarrett.**********/images/footer/account.jpg;
      http://itshopsonline.**********/blog/images/%numero%.jpg;
      http://japanesegreenteaonline.**********/assets/images/greentea-cha-1.gif;
      http://japanesegreenteaonline.**********/assets/images/greentea-cha-2.gif;
      http://killprocessoffline.**********/blog/images/%numero%.jpg;
      http://laporoskopia.**********/blog/images/%numero%.jpg;
      http://myonlinefreelibrarry.**********/blog/images/%numero%.jpg;
      http://nationsautoelectric.**********/images/50-217-1_F_1_.jpg;
      http://nationsautoelectric.**********/images/50-217-1_F_2_.jpg;
      http://onlinebizdirectory.**********/images/PowerHideBanner.gif;
      http://onlinebizdirectory.**********/images/PowerShowBanner.gif;
      http://psfk.**********/img/icons/facebook.png;
      http://psfk.**********/img/icons/twitter.png;
      http://realsoftwaredevelopment.**********/WindowsLiveWriter/web-2_0_thumb_1.gif;
      http://repairshampoo.**********/blog/images/%numero%.jpg;
      http://sambukaclubonline.**********/blog/images/%numero%.jpg;
      http://securityshllsonline.**********/blog/images/%numero%.jpg;
      http://sslprogrammingshool.**********/blog/images/%numero%.jpg;
      http://lostpropaganda.**********/blog/pics/3321.jpg;
      http://lostpropaganda.**********/blog/pics/3322.jpg;
      http://monochrom.**********/polytheism/pictures/TanzenderShiva.jpg

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.

Descrizione inserita da Andrei Ilie su lunedì 1 agosto 2011
Descrizione aggiornata da Andrei Ilie su giovedì 4 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.