English
Deutsch
Español
Italian
Home
Virus Info
BDS/Wallz
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
BDS/Wallz - Backdoor Server
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
BDS/Wallz
発見日:
13/10/2005
タイプ
バックドア・サーバ型
感染報告有り
はい
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
6.686 バイト
MD5 チェックサム
8b14dcb37bde5c1558a0f29f4d51a23e
VDFファージョン:
6.30.00.153
- Tue, 03 May 2005 16:09 (GMT+1)
一般情報
感染方法
• ローカル・ネットワーク
別名
• Symantec(シマンテック) W32.Wallz
• Kaspersky(カスペルスキー) Backdoor.Win32.Small.fb
• TrendMicro(トレンドマイクロ) BKDR_SMALL.AIH
• Sophos(ソフォス) Troj/Bdoor-HU
• Grisoft IRC/BackDoor.SdBot.185.BE
• ウイルスバスター Backdoor.Small.EU
• ビットディフェンダー(Bitdefender): Backdoor.Small.FB
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• レジストリの改変。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\mousehs.exe
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– [HKLM\SYSTEM\CurrentControlSet\Services\mousehs]
• "Type"=dword:00000110
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="
%SYSDIR%
\mousehs.exe"
• "DisplayName"="Mouse Hardware Sync"
• "ObjectName"="LocalSystem"
• "FailureActions"=
%hex値%
• "Description"="Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability."
– [HKLM\SYSTEM\CurrentControlSet\Services\mousehs\Security]
• ""Security"=
%hex値%
– [HKLM\SYSTEM\CurrentControlSet\Services\mousehs\Enum]
• "0"="Root\\LEGACY_MOUSEHS\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
以下のレジストリ・キーが追加されます:
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "restrictanonymous"=dword:00000001
以下のレジストリ・キーは変更されます:
– [HKLM\SOFTWARE\Microsoft\Ole]
前の値
• "EnableDCOM"=
%ユーザ設定%
新しい値
• "EnableDCOM"="n"
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS03-039
(RPCSS サービス のバッファ オーバーランによりコードが実行される (824146))
–
MS04-011
(LSASSの脆弱性)
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ symantec.loves.the.cock.**********
ポート: 18067
チャンネル #16
ニックネーム 16-%radom hex number%
パスワード hgianogh
サーバ **********.game2max.net
ポート: 18067
チャンネル #16
ニックネーム 16-%radom hex number%
パスワード hgianogh
– このマルウェアは以下の情報を収集し送る能力があります:
• ウインドウズOSについての情報
– その他以下のアクションを実行することもできます:
• ダウンロード・ファイル
• 実行ファイル
ファイルの詳細
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Iulian Popa によって Thu, 20 Oct 2005 16:46 (GMT+1) 書き込まれました。
この説明は Iulian Popa によって Thu, 27 Oct 2005 10:21 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
Worm/Lovgate.W
Worm/Mytob.BF
Worm/Mytob.BQ
Worm/Mytob.AT
JS/Dldr.Agent.ccy
TR/Autorun.S
Worm/Autorun.czg
Worm/Otwycal.g
TR/Spy.Agent.gct
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
