BDS/Nanspy.C - Backdoor Server

参照

概要

詳しい説明

統計

ウイルス	BDS/Nanspy.C
発見日：	07/10/2005
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	216.128 バイト
MD5　チェックサム	9C3D95E9D5C6DB594174C48AF2E3CFC0
VDFファージョン：	6.32.0.67

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Kaspersky(カスペルスキー) Backdoor.Win32.Nanspy.c

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ関係のウェブサイトへのアクセスを無効にします。
   • 文字入力を記録します。
   • レジストリの改変。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\spools.exe

以下のファイルが作成されます：

– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
   • %SYSDIR%\xffq.ssq
   • %SYSDIR%\ddq32.ssq
   • %SYSDIR%\ch1.ssq
   • %SYSDIR%\ch2.ssq
   • %SYSDIR%\ch3.ssq
   • %SYSDIR%\ch4.ssq
   • %SYSDIR%\xiecache.ssq

– %SYSDIR%\xbccd.log 感染したコンピュータの識別IDを含みます。
– %SYSDIR%\xffq.ssq このファイルは入力されたキーについて収集された情報を含みます。
– %SYSDIR%\ddq32.ssq このファイルは入力されたキーについて収集された情報を含みます。
– %SYSDIR%\ch1.ssq このファイルは入力されたキーについて収集された情報を含みます。
– %SYSDIR%\ch2.ssq このファイルは入力されたキーについて収集された情報を含みます。
– %SYSDIR%\ch3.ssq このファイルは入力されたキーについて収集された情報を含みます。
– %SYSDIR%\ch4.ssq このファイルは入力されたキーについて収集された情報を含みます。
– %SYSDIR%\xiecache.ssq このファイルは入力されたキーについて収集された情報を含みます。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Spools Service Controller"="%SYSDIR%\spools.exe"

以下のレジストリ・キーの値が消えています：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• spools.exe

ホストホストファイルは以下のように改変されます：

– この場合、存在する登録情報は変更されません。

– 以下のドメインへのアクセスは違う行先に変更されています。
   • d-ru-1f.kaspersky-labs.com
   • d-ru-1h.kaspersky-labs.com
   • d-ru-2f.kaspersky-labs.com
   • d-ru-2h.kaspersky-labs.com
   • d-eu-2f.kaspersky-labs.com
   • d-eu-2h.kaspersky-labs.com
   • d-eu-1f.kaspersky-labs.com
   • d-eu-1h.kaspersky-labs.com
   • d-us-1f.kaspersky-labs.com
   • d-us-1h.kaspersky-labs.com
   • downloads1.kaspersky.ru
   • downloads2.kaspersky.ru
   • downloads3.kaspersky.ru
   • downloads4.kaspersky.ru
   • downloads5.kaspersky.ru
   • www.kaspersky.ru
   • kaspersky.ru
   • kaspersky-labs.com
   • www.kaspersky-labs.com

改変されたホストファイルの外見は以下のようになります。

バックドア以下のポートが開かれます：

– %SYSDIR%\spools.exe 無作為に選ばれたTCPポート上に HTTPサーバを供給するため
– %SYSDIR%\spools.exe Socks 4 プロキシ・サーバを準備するため

サーバに接続します。
以下のうちのどれか１つ：
   • http://66.235.160.**********/slogdrx.php
   • http://66.235.160.**********/slogch1.php
   • http://66.235.160.**********/slogch2.php
   • http://66.235.160.**********/slogch3.php
   • http://66.235.160.**********/slogch4.php
   • http://66.235.160.**********/slogcx.php
   • http://66.235.160.**********/logwmgx.php

以下のもの：
   • http://66.235.160.**********/wad/init2.txt

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。これはPHPスクリプトを使ったHTTP GETとPOSTメソッドを通して行われました。

以下についての情報を送ります：
    • コンピュータ名
    • 作成されたログファイル
    • ログインしているユーザ
    • IPアドレス
    • 起動中のプロセスについての情報
    • ユーザーネーム
    • ウインドウズOSについての情報

リモート・コントロール機能
    • ファイルの削除
    • ダウンロード・ファイル
    • 実行ファイル
    • プロセスを強制終了する
    • DDoS攻撃を実行する
    • システム再起動
    • プロセスを終了する

窃盗以下の情報を盗もうとします：

– ウェブサイトを訪問した後ログインを開始します：
   • www.e-gold.com; www.wamu.com; www.bankone.com; www.bankofamerica.com;
      tcfbank.com; adelaidebank.com.au; anz.com.au; cu.net.au; boq.com.au;
      bankwest.com.au; bendigobank.com.au; commbank.com.au; hsbc.com.au;
      ibisworld.com.au; macquarie.com.au; national.com.au; suncorp.com.au;
      stgeorge.com.au; online.westpac.com.au; nationalbank.co.nz;
      rbnz.govt.nz; bnz.co.nz; asbbank.co.nz; westpac.co.nz; kiwibank.co.nz;
      macquarie.com; anz.com; nabgroup.com; bankombudsman.org.nz

– 取り込むのは：
    • ウインドウ情報
    • ログイン情報

ファイルの詳細 プログラム言語:
このマルウェアプログラムはDelphi(デルファイ)で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Mon, 10 Oct 2005 09:47 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Thu, 13 Oct 2005 15:10 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back