BDS/Cakl.A.1 - Backdoor Server

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	BDS/Cakl.A.1
Scoperto:	15/04/2006
Tipo:	Backdoor Server
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	324.096 Byte
Somma di controllo MD5:	9b203ebb193ae3a67d1874ed0062ad22
Versione VDF:	6.34.00.187

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Backdoor.Win32.Cakl.a
   • TrendMicro: BKDR_CAKL.D
   • Bitdefender: Trojan.PWS.PdPinch.GA

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file “maligni”
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %SYSDIR%\vms32.exe

Vengono creati i seguenti file:

– %WINDIR%\hkr32.asm Questo è un file di testo “non maligno” con il seguente contenuto:
• %informazioni sottratte%

– %SYSDIR%\ldapi32.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Cakl.A.1

– %SYSDIR%\ntcvx32.dll
– %SYSDIR%\ntswrl32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Cakl.A.2

Registro La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "vms32"="%SYSDIR%\vms32.exe"

Le seguenti chiavi di registro che includono tutti i valori e le sottochiavi, vengono rimosse:
   • [HKLM\SYSTEM\currentcontrolset\control\safeboot\minimal]
   • [HKLM\SYSTEM\currentcontrolset\control\safeboot\network]

Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\vms32.exe"="%SYSDIR%\vms32.exe:*:Enabled:Dnode"

Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software]
   • "Denese"="verme.serveftp.**********"
   • "PortNo"="15963"
   • "Kurban"="MANE"
   • "Password"="vermes"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal.xxx]
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\network.xxx]

Backdoor Contatta il server:
Il seguente:
   • verme.serveftp.**********:15963

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
    • Password memorizzate nella cache
    • Nome del computer
    • Velocità della CPU
    • Tipo di CPU
    • File LOG creati
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte
    • Informazioni sul sistema operativo Windows

Capacità di controllo remoto:
    • Modificare il registro
    • Eseguire file

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Le password dai seguenti programmi:
   • ICQ
   • Mozilla Firefox
   • Outlook
   • Internet Explorer
   • Windows Messenger
   • MSN Messenger

– Cattura:
    • Battute di tastiera
    • Informazioni della finestra

Varie Mutex:
Crea il seguente Mutex:
• TURKO3

Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.

Nasconde il seguente:
– I propri file
– Il proprio processo

Metodo utilizzato:
• Nascosto dalle Windows API

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Iulia Diaconescu il Wed, 03 May 2006 11:27 (GMT+1)
Descrizione aggiornata da Iulia Diaconescu il Wed, 03 May 2006 16:34 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back