BDS/HacDef.FV.1.A - Backdoor Server

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	BDS/HacDef.FV.1.A
Scoperto:	27/07/2006
Tipo:	Backdoor Server
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	88.576 Byte
Somma di controllo MD5:	f2c34a56a33ee7a22e77a217f5c9e92b
Versione VDF:	6.35.01.08
Versione IVDF:	6.35.01.08

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: BackDoor-DIZ
   • Kaspersky: Backdoor.Win32.HacDef.fw
   • F-Secure: Backdoor.Win32.HacDef.fw
   • Sophos: Troj/HacDef-DJ
   • Bitdefender: Backdoor.Hacdef.AG

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%directory di esecuzione del malware%\%file eseguiti% /service"
   • "DisplayName"="Print Spooler Service"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227\Enum
   • "0"="Root\LEGACY_SPOOLSVC227\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227\Security
   • "Security"=%valori esadecimali%

Viene cambiata la seguente chiave di registro:

– HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent
   Valore precedente:
   • "(default)"=dword:0000000d
   Nuovo valore:
   • "(default)"=dword:0000000e

Backdoor Contatta il server:
Uno dei seguenti:
   • 143.215.**********:447(UDP)
   • 143.215.**********:447(UDP)
   • 207.44.**********:447(UDP)

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Inoltre periodicamente ripete la connessione.

Varie Mutex:
Crea il seguente Mutex:
• 135363240

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Teodor Onisor il Mon, 02 Oct 2006 12:10 (GMT+1)
Descrizione aggiornata da Teodor Onisor il Mon, 02 Oct 2006 16:32 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro