BDS/VB.agz - Backdoor Server

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	BDS/VB.agz
Scoperto:	24/12/2005
Tipo:	Backdoor Server
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	30.720 Byte
Somma di controllo MD5:	65a87b2a54e20C6a2f2a097f0A45a39c
Versione VDF:	6.33.00.63

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: Keylog-Sters
   • Kaspersky: Backdoor.Win32.VB.agz
   • F-Secure: W32/Backdoor.HPK
   • VirusBuster: trojan Backdoor.VB.EAX

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica file “maligni”
   • Duplica un file
   • Modifica del registro

File Cancella la copia di se stesso eseguita inizialmente.

Cancella il seguente file:
   • %cookies%\*.txt

Viene creato il seguente file:

– %directory di esecuzione del malware%\%file eseguiti%.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

Prova a scaricare dei file:

– La posizione è la seguente:
   • %parametri forniti%/%parametri forniti%.dll
Viene salvato in locale sotto: %SYSDIR%%parametri forniti%.dll Inoltre questo file viene eseguito dopo essere stato completamente scaricato.

– La posizione è la seguente:
   • %parametri forniti%/smss.exe
Viene salvato in locale sotto: %WINDIR%\smss.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato.

Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\InitRegKey]
   • "initSmss"="0"
   • "initInstalled"="%random date%"
   • "initCount"="0"
   • "initNotAlive"="0"
   • "initID"="%nome del computer%-%vari numeri casuali da 0 a 9%"
   • "initRegion"="other"
   • "initIP"="no_ip"
   • "initURLHTTP"="%parametri forniti%/"
   • "initWWW4FTPupdate"="%parametri forniti%?other"
   • "initWWW4FTPbackup"="%parametri forniti%?other"
   • "initWWW4FileRedir"="%parametri forniti%"
   • "initMajorVersion"="%parametri forniti%"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{1E6CE4CD-161B-4847-B8BF-E2EF72299D69}]
   • "@"=" "

Backdoor Contatta il server:
Il seguente:
   • %parametri forniti%

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
    • Nome del computer
    • Utente corrente
    • Indirizzo IP
    • Stato corrente del malware

Capacità di controllo remoto:
    • Download di file
    • Visitare un sito web

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Daniel Constantin il Tue, 10 Jan 2006 10:15 (GMT+1)
Descrizione aggiornata da Daniel Constantin il Tue, 10 Jan 2006 15:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro