Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Predator.B
Scoperto:06/06/2011
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
Dimensione del file:507.904 Byte
Somma di controllo MD5:549CC0750A13B465875B0FCDDCBA4A65
Versione VDF:7.11.09.36 - lunedì 6 giugno 2011
Versione IVDF:7.11.09.36 - lunedì 6 giugno 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: W32/Ainslot.b
   •  Kaspersky: Trojan.MSIL.Crypt.jc
   •  Microsoft: Worm:Win32/Ainslot.A


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alle seguenti posizioni:
   • %APPDATA%\Microsoft\Protect\Credentials\xCocaine.txt
   • %APPDATA%\Predator.exe
   • %APPDATA%\Microsoft\Protect\Credentials\rundll.exe



Viene creato il seguente file:

– %APPDATA%\data.dat Questo file contiene le battute di tastiera recuperate.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "rundll.exe"="%APPDATA%\Microsoft\Protect\Credentials\rundll.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\VB and VBA Program Settings\SrvID\ID]
   • "7YHNQKYICA"="Matty's Bot"

– [HKCU\Software\VB and VBA Program Settings\INSTALL\DATE]
   • "7YHNQKYICA"="%data corrente%"

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\Predator.exe"="%APPDATA%\Predator.exe:*:Enabled:Windows Messanger"

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%file eseguiti%"="%file eseguiti%:*:Enabled:Windows Messanger"

 Backdoor Contatta il server:
Il seguente:
   • hfmatty.no-ip.**********:3333

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
    • Immagine “catturata” dallo schermo
    • Informazioni sul sistema operativo Windows


Capacità di controllo remoto:
    • Inizia keylog
    • Visitare un sito web

 Sottrazione di informazioni – Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di “tracciamento”:
   • facebook.com
   • bankofamerica.com

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su giovedì 28 luglio 2011
Descrizione aggiornata da Andrei Ilie su giovedì 4 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.