BDS/Beast202.1 - Backdoor Server

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	BDS/Beast202.1
Tipo:	Backdoor Server
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	54.100 Byte
Somma di controllo MD5:	55ff7e888a996e7eac6416041f4d1e7e

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: BackDoor-AMQ
   • Kaspersky: Backdoor.Win32.Beastdoor.aq
   • F-Secure: W32/Beastdoor.AJ
   • Grisoft: BackDoor.Beastdoor.FG
   • Bitdefender: GenPack:Backdoor.Beastdoor.2.0.2.A

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica un file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

File Si copia alle seguenti posizioni:
   • %SYSDIR%\ñsrss.exe
   • %SYSDIR%\mspjgq.com
   • %WINDIR%\msagent\msytdn.com

Viene creato il seguente file:

– File “non maligno”:
   • %SYSDIR%\pjgq.blf

Registro Le seguenti chiavi di registro sono aggiunte continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {42AC0312-EE51-A3CC-EA32-40AA12E6115C}]
   • "StubPath"="%SYSDIR%\mspjgq.com"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "COM Service"="%WINDIR%\msagent\msytdn.com"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "COM Service"="%WINDIR%\msagent\msytdn.com"

Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer]
   • "ITBarLayout"=%valori esadecimali%

Vengono cambiate le seguenti chiavi di registro:

Disattiva il firewall di Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000004

– [HKCU\Software\Microsoft\RAS Autodial\Control]
   Valore precedente:
   • "LoginSessionDisable"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "LoginSessionDisable"=dword:00000001

Backdoor Viene aperta la seguente porta:

– %SYSDIR%\ñsrss.exe sulla porta TCP 6666 con lo scopo di procurarsi delle possibili backdoor.

Contatta il server:
Il seguente:
   • cdwar.hut1.ru/cgi-bin/baza/user/add/admin/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Inoltre periodicamente ripete la connessione. Questo viene fatto tramite la richiesta HTTP GET in uno script CGI.

Invia informazioni riguardanti:
    • Immagine “catturata” dallo schermo
    • Utente corrente
    • Indirizzo IP
    • Stato corrente del malware
    • Porta aperta

Capacità di controllo remoto:
    • Riavviare il sistema
    • Arrestare il sistema

DoS Esattamente dopo che diventa attivo, inizia degli attacchi DoS contro le seguenti destinazioni:
• microsoft.com
• nea.fr

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Daniel Constantin il Mon, 06 Feb 2006 11:50 (GMT+1)
Descrizione aggiornata da Daniel Constantin il Thu, 09 Feb 2006 13:42 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro