BDS/Cakl.A.1 - Backdoor Server

参照

概要

詳しい説明

統計

ウイルス	BDS/Cakl.A.1
発見日：	15/04/2006
タイプ	バックドア・サーバ型
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	324.096 バイト
MD5　チェックサム	9b203ebb193ae3a67d1874ed0062ad22
VDFファージョン：	6.34.00.187 - Sat, 15 Apr 2006 09:38 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Kaspersky(カスペルスキー) Backdoor.Win32.Cakl.a
   • TrendMicro(トレンドマイクロ） BKDR_CAKL.D
   • ビットディフェンダー(Bitdefender)： Trojan.PWS.PdPinch.GA

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • 悪意ファイルを作成します。
   • 文字入力を記録します。
   • レジストリの改変。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
• %SYSDIR%\vms32.exe

以下のファイルが作成されます：

– %WINDIR%\hkr32.asm これは以下の内容を含む、悪意のないテキスト・ファイルです：
• %盗まれた情報%

– %SYSDIR%\ldapi32.exe 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： BDS/Cakl.A.1

– %SYSDIR%\ntcvx32.dll
– %SYSDIR%\ntswrl32.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： BDS/Cakl.A.2

レジストリ以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "vms32"="%SYSDIR%\vms32.exe"

以下のレジストリ・キーが、中に含まれるすべての値とサブキーと一緒に消されます。
   • [HKLM\SYSTEM\currentcontrolset\control\safeboot\minimal]
   • [HKLM\SYSTEM\currentcontrolset\control\safeboot\network]

ウインドウズXPのファイアウォールをバイパスするため、以下のエントリを作成します：

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\vms32.exe"="%SYSDIR%\vms32.exe:*:Enabled:Dnode"

以下のレジストリ・キーが追加されます：

– [HKCU\Software]
   • "Denese"="verme.serveftp.**********"
   • "PortNo"="15963"
   • "Kurban"="MANE"
   • "Password"="vermes"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal.xxx]
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\network.xxx]

バックドア サーバに接続します。
以下のもの：
   • verme.serveftp.**********:15963

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。

以下についての情報を送ります：
    • キャッシュに入ったパスワード
    • コンピュータ名
    • CPU速度
    • CPUの種類
    • 作成されたログファイル
    • 窃盗セクションに説明されている収集された情報
    • ウインドウズOSについての情報

リモート・コントロール機能
    • レジストリの編集
    • 実行ファイル

窃盗以下の情報を盗もうとします：
– レジストリ・キーから取り出されたメール・アカウント情報：HKCUSoftwareMicrosoftInternet Account ManagerAccounts

– 以下のプログラムからのパスワード：
   • ICQ
   • Mozilla Firefox
   • Outlook
   • Internet Explorer
   • Windows Messenger
   • MSN Messenger

– 取り込むのは：
    • キー入力
    • ウインドウ情報

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• TURKO3

ルートキット・テクノロジー(Rootkit Technology) それはマルウェア特有のテクノロジーです。マルウェアはその存在を、システム・ユーティリティー、セキュリティー・アプリケーション、そしてユーザ自身からも隠します。

以下のものを隠します：
– それ自身のファイル
– それ自身のプロセス

使用されているメソッド：
• ウインドウズAPIから隠されています：

ファイルの詳細 プログラム言語:
このマルウェアプログラムはDelphi(デルファイ)で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

簡単な説明はココにあります。.

この説明は Iulia Diaconescu によって Wed, 03 May 2006 11:27 (GMT+1) 書き込まれました。
この説明は Iulia Diaconescu によって Wed, 03 May 2006 16:34 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back