//start foreach
English
//start foreach
Deutsch
//start foreach
Français
//start foreach
Español
//start foreach
Italiano
//start foreach
Русский
//start foreach
日本語
//start foreach
Português
Home
Minacce
BDS/Ciadoor.BO
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistiche
Phishing Worldmap
VDF History
Virus Science
Submit Sample
News sulla sicurezza
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
BDS/Ciadoor.BO - Backdoor Server
Vedi anche
In breve
Descrizione completa
Statistiche
Come valuti questa informazione?
Inutile
Eccellente
Nome del virus:
BDS/Ciadoor.BO
Scoperto:
30/07/2006
Tipo:
Backdoor Server
In circolazione (ITW):
No
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio-Alto
File statico:
Si
Dimensione del file:
1.218.748 Byte
Somma di controllo MD5:
655e5c9ea699d5ead17ad63529e09fe7
Versione VDF:
6.35.1.21
Versione IVDF:
6.35.1.21
Generale
Alias:
• Kaspersky: Backdoor.Win32.Ciadoor.bo
• Bitdefender: Backdoor.Ciadoor.FA
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
Effetti secondari:
• Disattiva le applicazioni di sicurezza
• Duplica file
• Clona un file “maligno”
• Abbassa le impostazioni di sicurezza
• Modifica del registro
• Sfrutta la vulnerabilità del software
• Sottrae informazioni
• Accesso e controllo del computer da parte di terzi
Giusto dopo l'esecuzione viene visualizzata la seguente informazione:
File
Si copia alle seguenti posizioni:
•
%SYSDIR%
\tz2L7ah3Pa.ini
•
%SYSDIR%
\Directx.exe
Cancella la copia di se stesso eseguita inizialmente.
Vengono creati i seguenti file:
– Un file ad uso temporaneo che può essere cancellato in seguito:
•
%SYSDIR%
\del32.bat
–
%SYSDIR%
\drivers\oreans32.sys
–
%SYSDIR%
\wsock32.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Ciadoor.13.B
–
%SYSDIR%
\ckl009.dat Questo file contiene le battute di tastiera recuperate.
Registro
Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
• "
%SYSDIR%
\DirectX.exe"="
%SYSDIR%
\directx.exe"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Generic Host Process"="
%SYSDIR%
\directx.exe"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Run
• "Generic Host Process"="
%SYSDIR%
\directx.exe"
– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
• "
%SYSDIR%
\DirectX.exe"="
%SYSDIR%
\directx.exe"
•
– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
• "
%SYSDIR%
\DirectX.exe"="
%SYSDIR%
\directx.exe"
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
• "shell"="Explorer.exe
%SYSDIR%
\DirectX.exe"
– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
• Generic Host Process"="
%SYSDIR%
\DirectX.exe"
Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:
– HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices
• "Generic Host Process"="
%SYSDIR%
\DirectX.exe"
Il valore della seguente chiave di registro viene rimosso:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:
– HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
Vengono aggiunte le seguenti chiavi di registro:
– HKCR\N.Cs4\Clsid
• "(Default)"="{E14DCE67-8FB7-4721-8149-179BAA4D792C}"
– HKCR\N.Cs4
• "(Default)"="N.Cs4"
– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\VERSION
• "(Default)"="3.0"
– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\TypeLib]
• "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"
– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32
• "ThreadingModel"="Apartment"
• "(Default)"="
%SYSDIR%
\wsock32.sys"
– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\ProgID
• "(Default)"="N.Cs4"
– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
• "(Default)"="N.Cs4"
– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib
• "Version"="3.0"
• "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"
– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
ProxyStubClsid32
• "(Default)"="{00020424-0000-0000-C000-000000000046}"
– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
ProxyStubClsid
• "(Default)"="{00020424-0000-0000-C000-000000000046}"
– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
• "(Default)"="Cs4"
– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR
• "(Default)"="
%SYSDIR%
"
– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32
• "(Default)"="
%SYSDIR%
\wsock32.sys"
– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\FLAGS
• "(Default)"="0"
– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0
• "(Default)"="N"
– HKCU\Software\VB and VBA Program Settings\set\set
• "set"="tz2L7ah3Pa.ini"
– HKLM\SYSTEM\ControlSet003\Services\Messenger
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet003\Services\ATS
• "Start"=dword:00000000
– HKCU\Software\Policies\Microsoft\Windows\System
• "DisableCMD"=dword:00000001
– HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
• "Disabled"=dword:00000000
– HKCR\..DlI
• "(Default)"="exefile"
– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
• "run"="
%SYSDIR%
\DirectX.exe"
– HKLM\SYSTEM\ControlSet001\Services\SENS
Nuovo valore:
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet002\Services\SENS
Nuovo valore:
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet003\Services\SENS
Nuovo valore:
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet001\Services\Nla
Nuovo valore:
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet002\Services\Nla
Nuovo valore:
• "Start"=dword:0000000
– HKLM\SYSTEM\ControlSet003\Services\Nla
Nuovo valore:
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet001\Services\Messenger
Nuovo valore:
• "Start"=dword:0000000
– HKLM\SYSTEM\ControlSet002\Services\Messenger
Nuovo valore:
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet001\Services\ATS
Nuovo valore:
• "Start"=dword:00000000
– HKLM\SYSTEM\ControlSet002\Services\ATS
Nuovo valore:
• "Start"=dword:00000000
– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Valore precedente:
• "load"=""
Nuovo valore:
• "load"="
%SYSDIR%
\DirectX.exe"
“Infezione” della rete
Exploit:
Sfrutta le seguenti vulnerabilità:
–
MS04-007
(ASN.1 Vulnerability)
–
MS05-039
(Vulnerability in Plug and Play)
Backdoor
Contatta il server:
Il seguente:
• doener.no-ip.**********:314
Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.
Invia informazioni riguardanti:
• Immagine “catturata” dallo schermo
• Immagine “catturata” dalla webcam
• Utente corrente
• Informazioni sui processi in corso
• Informazioni sul sistema operativo Windows
Capacità di controllo remoto:
• Cambia directory
• Copia file
• Cancella il file
• Lista delle directory
• Visualizza un messaggio
• Download di file
• Eseguire file
• Terminare il processo
• Spostare file
• Riavviare il sistema
• Inviare email
• Arrestare il sistema
• Carica un file
Sottrazione di informazioni
Prova a sottrarre le seguenti informazioni:
– Cattura:
• Battute di tastiera
• Informazioni della finestra
Come il virus si inserisce nei processi
– Inserisce il seguente file in un processo:
%SYSDIR%
\wsock32.sys
– Si inserisce come thread remoto in un processo.
Nome del processo:
•
%PROGRAM FILES%
\Internet Explorer\IEXPLORER.exe
Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.
Varie
Anti debugging
Se riuscito visualizza il seguente e viene terminato immediatamente:
Tecnologia Rootkit
Nasconde il seguente:
– Le proprie chiavi di registro
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Bogdan Iliuta il Mon, 31 Jul 2006 15:41 (GMT+1)
Descrizione aggiornata da Bogdan Iliuta il Fri, 04 Aug 2006 15:22 (GMT+1)
»
Informazioni sul malware
»
Informazioni sul phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
HTML/Crypted.Gen
TR/Rootkit.Gen
W32/Sality.Y
PCK/NSIS.M
PCK/Dumped
PCK/Repacked
PCK/MEW
PCK/UPACK
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2010 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce BDS/Ciadoor.BO
Stampa questa pagina
.gif)
