BDS/VB.awr.35 - Backdoor Server

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	BDS/VB.awr.35
Scoperto:	19/03/2007
Tipo:	Backdoor Server
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	420.299 Byte
Somma di controllo MD5:	ecf789e622ab53b9761595f51e63423a
Versione VDF:	6.38.00.74
Versione IVDF:	6.38.00.76

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Backdoor.Win32.VB.awr
   • F-Secure: Backdoor.Win32.VB.awr

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %WINDIR%\scvhost.exe

Vengono creati i seguenti file:

– File “non maligno”:
• %WINDIR%\MSWINSCK.OCX

– %SYSDIR%\offlog.txt Questo file contiene le battute di tastiera recuperate.

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RUNSERVICES]
   • "Windows Update"="%WINDIR%\scvhost.exe"
   • "msconfig"="%WINDIR%\scvhost.exe"
   • "icq lite"="%WINDIR%\scvhost.exe"
   • "Update Checker"="%WINDIR%\scvhost.exe"
   • "AntiVir"="%WINDIR%\scvhost.exe"
   • @="%WINDIR%\scvhost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update"="%WINDIR%\scvhost.exe"
   • "msconfig"="%WINDIR%\scvhost.exe"
   • "icq lite"="%WINDIR%\scvhost.exe"
   • "Update Checker"="%WINDIR%\scvhost.exe"
   • "AntiVir"="%WINDIR%\scvhost.exe"
   • @="%WINDIR%\scvhost.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%WINDIR%\scvhost.exe"

Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • dl1.avgate.net
   • dl2.avgate.net
   • dl3.avgate.net
   • dl4.avgate.net
   • dl5.avgate.net
   • dl6.avgate.net
   • dl7.avgate.net
   • dl8.avgate.net
   • dl9.avgate.net

Backdoor Contatta il server:
Il seguente:
• arcrol3**********:1338

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Gabriel Mustata il Fri, 16 Mar 2007 08:46 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Mon, 26 Mar 2007 12:08 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro