Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Agent.225280
Scoperto:20/07/2010
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
Dimensione del file:225.280 Byte
Somma di controllo MD5:9D54DAC390CCC67FFE0F6D57728B27D4
Versione VDF:7.10.04.34
Versione IVDF:7.10.09.138 - martedì 20 luglio 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  TrendMicro: TROJ_BUZUS.AVM
   •  Sophos: Mal/Ainslot-B
     Microsoft: Worm:Win32/Ainslot.A


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %APPDATA%\taskhost.exe



Viene creato il seguente file:

%APPDATA%\data.dat Questo file contiene le battute di tastiera recuperate.

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • "WindowsDefender"="%APPDATA%\taskhost.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WindowsDefender"="%APPDATA%\taskhost.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WindowsDefender"="%APPDATA%\taskhost.exe"

  [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5E38CBEB-C1A7-CB2F-19AF-729FCEDAAA06}]
   • "StubPath"="%APPDATA%\taskhost.exe"

  [HKCU\Software\Microsoft\Active Setup\Installed Components\
   {5E38CBEB-C1A7-CB2F-19AF-729FCEDAAA06}]
   • "StubPath"="%APPDATA%\taskhost.exe"



Vengono aggiunte le seguenti chiavi di registro:

[HKCU\Software\VB and VBA Program Settings\SrvID\ID]
   • "BCVT4V1PVD"="ZBOTNETkillz"

[HKCU\Software\VB and VBA Program Settings\INSTALL\DATE]
   • "BCVT4V1PVD"="%data corrente%"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%file eseguiti%"="%file eseguiti%:*:Enabled:Windows Messanger"
   • "%APPDATA%\taskhost.exe"="%APPDATA%\taskhost.exe:*:Enabled:Windows Messanger"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000

 Backdoor Contatta il server:
Il seguente:
   • ekinox.no-ip.**********:3060

Come risultato pu inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
     Immagine catturata dallo schermo
     Informazioni sul sistema operativo Windows


Capacit di controllo remoto:
     Inizia keylog
     Visitare un sito web

 Sottrazione di informazioni  Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di tracciamento:
   • bankofamerica.com
   • facebook.com

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Ilie su giovedì 28 luglio 2011
Descrizione aggiornata da Andrei Ilie su giovedì 4 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.