English
Deutsch
Francais
Español
Italian
Home
Virus Info
BDS/Beast202.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
BDS/Beast202.1 - Backdoor Server
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
BDS/Beast202.1
タイプ
バックドア・サーバ型
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
54.100 バイト
MD5 チェックサム
55ff7e888a996e7eac6416041f4d1e7e
一般情報
感染方法
• それ自体に伝染能力はない
別名
• McAfee(マカフィー) BackDoor-AMQ
• Kaspersky(カスペルスキー) Backdoor.Win32.Beastdoor.aq
• F-Secure(エフ・セキュア) W32/Beastdoor.AJ
• Grisoft BackDoor.Beastdoor.FG
• ビットディフェンダー(Bitdefender): GenPack:Backdoor.Beastdoor.2.0.2.A
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• ファイルを作成します。
• セキュリティの設定を低くします。
• レジストリの改変。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\ñsrss.exe
•
%SYSDIR%
\mspjgq.com
•
%WINDIR%
\msagent\msytdn.com
以下のファイルが作成されます:
– 悪意のないファイル:
•
%SYSDIR%
\pjgq.blf
レジストリ
以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます:
– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{42AC0312-EE51-A3CC-EA32-40AA12E6115C}]
• "StubPath"="
%SYSDIR%
\mspjgq.com"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run]
• "COM Service"="
%WINDIR%
\msagent\msytdn.com"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Run]
• "COM Service"="
%WINDIR%
\msagent\msytdn.com"
以下のレジストリ・キーが追加されます:
– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer]
• "ITBarLayout"=
%hex値%
以下のレジストリ・キーは変更されます:
ウインドウズ XPのFirewall(防火壁)を無効にする:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
前の値
• "Start"=
%ユーザ設定%
新しい値
• "Start"=dword:00000004
– [HKCU\Software\Microsoft\RAS Autodial\Control]
前の値
• "LoginSessionDisable"=
%ユーザ設定%
新しい値
• "LoginSessionDisable"=dword:00000001
バックドア
以下のポートが開かれます:
–
%SYSDIR%
\ñsrss.exe TCPポートに 6666 バックドアを開くため
サーバに接続します。
以下のもの:
• cdwar.hut1.ru/cgi-bin/baza/user/add/admin/**********
結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。 その他、定期的に接続を繰り返します。 これはCGIスクリプトを使ったHTTP GETのリクエストを通して行われます。
以下についての情報を送ります:
• スクリーンを取り込む
• ログインしているユーザ
• IPアドレス
• 現在のマルウェアのステータス
• 開かれたポート
リモート・コントロール機能
• システム再起動
• システムをシャットダウンする
DoS
実行されると、すぐに以下の宛先にDoS攻撃を開始します。
• microsoft.com
• nea.fr
ファイルの詳細
プログラム言語:
このマルウェアプログラムはDelphi(デルファイ)で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX
簡単な説明は
ココ
にあります。.
この説明は Daniel Constantin によって Mon, 06 Feb 2006 11:50 (GMT+1) 書き込まれました。
この説明は Daniel Constantin によって Thu, 09 Feb 2006 13:42 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
