BDS/Verify.K.1 - Backdoor Server

参照

概要

詳しい説明

統計

ウイルス	BDS/Verify.K.1
発見日：	06/03/2005
タイプ	バックドア・サーバ型
感染報告有り	いいえ
感染報告	低
感染の可能性	低～中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	32.256 バイト
MD5　チェックサム	e7d155c42fe5e7d13f92e533436c5bda
VDFファージョン：	6.30.00.225 - Fri, 03 Jun 2005 15:52 (GMT+1)

一般情報 感染方法
   • P2P(ピアツーピア)

別名
   • Symantec(シマンテック) Backdoor.Verify
   • McAfee(マカフィー) BackDoor-CNQ
   • Kaspersky(カスペルスキー) Backdoor.Win32.Verify.k
   • TrendMicro(トレンドマイクロ） BKDR_VERIFY.E
   • F-Secure(エフ・セキュア) BACKDOOR PROGRAM
   • Grisoft BackDoor.Small.43.J
   • ビットディフェンダー(Bitdefender)： Backdoor.Verify.K

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • 悪意ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • 文字入力を記録します。
   • レジストリの改変。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\pVF.pMK
   • %SYSDIR%\msidle32.exe
   • %システム・ドライブ・ルート%\MsBootMgr.exe

以下のファイルの名前を変更します：

    • ntldr へ loveyou_pTH
    • msdos.sys へ loveyou_pTH.sys

以下のファイルが作成されます：

– 悪意のないファイル：
   • %SYSDIR%\pMK_readme.txt
   • %SYSDIR%\pMK_wLog.txt
   • %SYSDIR%\pMK_kLog.txt
   • %SYSDIR%\pMK_kLogF.txt
   • %SYSDIR%\music.mid

– %WINDIR%\smss.exe 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： BDS/Verify.J.1

– %SYSDIR%\MsIdle32Hook.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： BDS/Verify.H.2

– %SYSDIR%\MsIdle32loader.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： BDS/Verify.K

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • freewebs.com/rhspyx007/**********
   • websamba.com/rhspyx007/**********
   • siteburg.com/download/**********
ハードディスクの以下のパスにセーヴされます： %TEMPDIR%\pVF_update.exe ダウンロードが終了した後、起動されます。これを書き込んだ時点で、インターネット上でこのファイルにアクセスできなかったため、詳しい調査ができませんでした。

レジストリ以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "msidle32.exe"="%SYSDIR%\msidle32.exe"

以下のレジストリ・キーが追加されます：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pVF]
   • "pVF_Version"=dword:0000082e

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\msidle32.exe"="%SYSDIR%\msidle32.exe:*:Enabled:Remote Access"

– [HKCR\CLSID\{319A31D4-9194-41e4-8450-A5F99BD0FA0A}]
   • @="MsIdle32loader.dll"

– [HKCR\CLSID\{319A31D4-9194-41e4-8450-A5F99BD0FA0A}\InprocServer32]
   • @="%SYSDIR%\MsIdle32loader.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "MsIdle32loader.dll"="{319A31D4-9194-41e4-8450-A5F99BD0FA0A}"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   {319A31D4-9194-41e4-8450-A5F99BD0FA0A}]
   • @="MsIdle32loader.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\pVF.exe]
   • @="%SYSDIR%\msidle32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002

Eメールそれ自身に伝染する能力はありませんが、メールを送る能力はあります。たいていは受信者が作成者になっているようです。特徴は下記のようになっています:

送信者
送信者のアドレスは改変されています(spoof)。
メールの送信者は以下の通りです：
   • pVF2@pMK.pTH
メールの受信者は以下の通りです：
   • pMK29A@yahoo.com

件名
以下のもの：
   • pVF v2 Report

本文
内容はそのファイルと同じものです： pMK_kLog.txt

メールは以下のようなものです：

送信 MXサーバ
MXサーバにつなげる能力があります。
   • smtp.server.localhost
   • mail.eircom.net
   • smtp.wanadoo.fr

P2P P2P(ピアツーピア)ネットワーク内の他のシステムに感染するため、以下のアクションを実行します：

–   以下のサブストリング(substring)を含むディレクトリを検索します：
   • user
   • system
   • book
   • game
   • pic
   • media
   • download
   • upload
   • share
   • music
   • doc
   • program
   • soft

   成功すると、以下のファイルが作成されます：
   • MU Korea new!!.exe; Shower girl.exe; _-_Click_-Me!_.exe; Microsoft
      Office 2003 Crack.exe-_-Secret-_-.exe; ACDSee 8.0 beta.exe; Free
      telephone.exe; I want to say that....exe; Age of Empires new !!!.exe;
      MU online-update.exe; kiss me.jpg.exe; Windows XP update new.exe;
      Mirosoft Windows Longhorn beta test.exe; Monster.jpg.exe; Love
      you....exe; Hack Yahoo! Pass.exe; Linkin' Park.jpg.exe; My
      Diary.doc.exe; Top Secret.exe; Manga news.html.exe; Kid1412.jpg.exe;
      Sherlock Homes.doc.exe; Conan Doyle.jpg.exe; Ichi shinpo.jpg.exe;
      Yahoo! Smiley new !.exe; FiFa WorldCup 2006 Beta.exe; Nero 7.0
      Full.exe; WinRAR 4.0 Full.exe; fun fun fun.exe; Fantasy XII
      Update.exe; Half-Life 2 Update.exe; Windows XP source code.exe; Norton
      Antivirus Update.exe; Spy search and destroy new!.exe; bikini.jpg.exe;
      UFO.doc.exe; The X-files.jpg.exe; XXX-Cindy.jpg.exe; XXX-Britney
      Spears.jpg.exe; Sexy girl.jpg.exe; xxx_Girl.jpg.exe; BinLaden
      PPP.jpg.exefucker.jpg.exe; Sweet Valetine.exe; Love to kick boot.exe;
      Yahoo! Account Cracker.exe; WinAmp 6.0 Full.exe; nude_girl.jpg.exe;
      H.O.T news.html.exe; ZaiZai smileys.jpg.exe; Hillary Duff -
      nude.jpg.exe; Photoshop 9.0 Full.exe; Hot Sexxxxx.avi.exe

プロセス中断以下のプロセスは終了されます：
   • @ZONEALARM.EXE; WEBSCANX.EXE; VSSTAT.EXE; VSHWIN32.EXE; VSECOMR.EXE;
      VSCAN40.EXE; VETTRAY.EXE; VET95.EXE; TDS2-NT.EXE; TDS2-98.EXE;
      TBSCAN.EXE; SWEEP95.EXE; F-STOPW.EXE; SPHINX.EXE; SERV95.EXE;
      SCRSCAN.EXE; SCANPM.EXE; SCAN95.EXE; SCAN32.EXE; SAFEWEB.EXE;
      RESCUE.EXE; RAV7WIN.EXE; RAV7.EXE; F-PROT95.EXE; F-PROT.EXE;
      PERSFW.EXE; PCFWALLICON.EXE; PCCWIN98.EXE; PAVW.EXE; PAVCL.EXE;
      PADMIN.EXE; OUTPOST.EXE; NVC95.EXE; NUPGRADE.EXE; NORMIST.EXE;
      NISUM.EXE; NAVWNT.EXE; NAVNT.EXE; NAVLU32.EXE; NAVAPW32.EXE;
      N32SCANW.EXE; MPFTRAY.EXE; MOOLIVE.EXE; LUALL.EXE; LOOKOUT.EX;
      LOCKDOWN2000.EXE; JEDI.EXE; IOMON98.EXE; IFACE.EXE; ICSUPPNT.EXE;
      ICSUPP95.EXE; ICMON.EXE; ICLOADNT.EXE; ICLOAD95.EXE; IBMAVSP.EXE;
      IBMASN.EXE; IAMSERV.EXE; IAMAPP.EXE; FPROT.EXE; FINDVIRU.EXE;
      ESPWATCH.EXE; ESAFE.EXE; ECENGINE.EXE; DVP95_0.EXE; CLEANER3.EXE;
      CLEANER.EXE; CLAW95CF.EXE; CLAW95.EXE; CFINET32.EXE; CFINET.EXE;
      CFIAUDIT.EXE; CFIADMIN.EXE; BLACKICE.EXE; BLACKD.EXE; AVWUPD32.EXE;
      AVWIN95.EXE; AVSCHED32.EXE; AVPUPD.EXE; AVPTC32.EXE; AVPDOS32.EXE;
      AVNT.EXE; AVKSERV.EXE; AVGCTRL.EXE; AVE32.EXE; AVCONSOL.EXE;
      AUTODOWN.EXE; APVXDWIN.EXE; ANTI-TROJAN.EXE; ACKWIN32.EXE; PVIEW.EXE;
      TASKMGR.EXE; REGEDIT.EXE; MSCONFIG.EXE; D32.EXE; BKAV2002.EXE;
      PAVSCHED.EXE; NMAIN.EXE; NAVW32.EXE; NAVAPSVC.EXENAVAPW32.EXE;
      F-AGNT95.EXE; WFINDV32.EXE; AVPM.EXE; AVPCC.EXE; AVP32.EXE

バックドア以下のポートが開かれます：

– %実行ファイル% TCPポートに 1907 リモートシェルを準備するため
– %実行ファイル% TCPポートに 1906 バックドアを開くため

サーバに接続します。
以下のうちのどれか１つ：
   • ftp://ftp22.websamba.**********

結果、いくつかの情報を送る可能性があります。

以下についての情報を送ります：
    • コンピュータ名
    • 環境変数
    • ユーザーネーム
    • ウインドウズOSについての情報

リモート・コントロール機能
    • ダウンロード・ファイル
    • 実行ファイル
    • メールを送る
    • キーログの開始
    • プロセスを終了する
    • ファイルをアップロードする

窃盗 – 以下の文字列と合致するキー入力がされると、ログインを開始します：
   • securit
   • dial
   • credit
   • admin
   • pass
   • ftp
   • mail
   • profile
   • account
   • regist
   • sign
   • log on
   • log in
   • logon
   • login

– 取り込むのは：
    • キー入力
    • ウインドウ情報

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• ::. Love_you_pTH .::

文字列
さらに以下の文字列を含みます：
• ---[ pMK_VeryFun - Written by pMK - (c) 2005]---

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

簡単な説明はココにあります。.

この説明は Ionut Slaveanu によって Wed, 03 May 2006 10:34 (GMT+1) 書き込まれました。
この説明は Ionut Slaveanu によって Thu, 04 May 2006 07:55 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back