BDS/Frauder.bu - Backdoor Server

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	BDS/Frauder.bu
Scoperto:	29/08/2008
Tipo:	Backdoor Server
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio-Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	No
Dimensione del file:	~203.776 Byte
Versione IVDF:	7.00.06.89

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Symantec: Trojan.Blusod
   • Mcafee: Downloader-ASH.gen.b trojan
   • Kaspersky: Backdoor.Win32.Frauder.bu
   • F-Secure: Backdoor.Win32.Frauder.bu
   • Sophos: Mal/EncPk-EU
   • Panda: Adware/RogueAntimalware2008
   • Grisoft: Downloader.FraudLoad.N
   • Eset: a variant of Win32/Kryptik.E trojan
   • Bitdefender: Trojan.FakeAlert.ACR

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica un file “maligno”
   • Duplica file “maligni”
   • Modifica del registro

Visualizza il contenuto del file immagine creato:

File Si copia alla seguente posizione:
• %SYSDIR%\lphc1boj0e39c.exe

Vengono creati i seguenti file:

– %TEMPDIR%\.tt1.tmp.vbs Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: VBS/Agent.1002

– %SYSDIR%\blphc1boj0e39c.scr Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: JOKE/BlueScreen.B

– %SYSDIR%\phc1boj0e39c.bmp Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Fakealert.AAF

Prova a scaricare un file:

– La posizione è la seguente:
• http://stat.antivirusxp-2008.net/**********/common/16.gif
Viene salvato in locale sotto: C:\Documents and Settings\makrorechner\Local Settings\Temp\.tt4.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. In più contiene codice "maligno".

Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "lphc1boj0e39c"="%SYSDIR%\lphc1boj0e39c.exe"

Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "NoDispBackgroundPage"=dword:00000001
   • "NoDispScrSavPage"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Software Notifier]
   • "InstallID"="858948ee-a000-4255-86f8-9e3baeb448b6"

Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Control Panel\Colors]
   Nuovo valore:
   • "Background"="0 0 255"

– [HKCU\Control Panel\Desktop]
   Nuovo valore:
   • "WallpaperStyle"="0"
     "TileWallpaper"="0"
     "Wallpaper"="%SYSDIR%\phc1boj0e39c.bmp"
     "OriginalWallpaper"="%SYSDIR%\phc1boj0e39c.bmp"
     "ConvertedWallpaper"="%SYSDIR%\phc1boj0e39c.bmp"
     "SCRNSAVE.EXE"="%SYSDIR%\blphc1boj0e39c.scr"
     "ScreenSaveActive"="1"
     "ScreenSaveTimeOut"="600"

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Andreas Feuerstein il Fri, 05 Sep 2008 10:42 (GMT+1)
Descrizione aggiornata da Andreas Feuerstein il Fri, 05 Sep 2008 11:52 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro