VírusBDS/Improg.2
Data em que surgiu:03/01/2006
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:39.423 Bytes
MD5 checksum:886f3af525142488e4ad06a812755af5
Versão VDF:6.29.00.9

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: BackDoor-CEP
   •  Kaspersky: Backdoor.Win32.Bifrose.kt
   •  TrendMicro: BKDR_BIFROSE.CI

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\nerodll.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed COmPonents\
   {8B75D81C-C498-4935-C5D1-43AA4DB90836}]
   • stubpath = %SYSDIR%\nerodll.exe s



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Wget]
   • nck=hex:93,4e,16,04,67,03,2d,60,b4,3c,2a,5e,33,34,72,00,a3,78,26,35,57,32,2d,60,b4,3c,2a,5e,33,34,72,00

– [HKCU\SOFTWARE\Wget]
   • klg = hex:00

 Backdoor Contacta o servidor:
Seguinte:
   • flashflashmx.3322.org

Como resultado é dada capacidade de controlo remoto.

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Um processo registado com a seguinte chave de registo:
   • [HKLM\SOFTWARE\Classes\HTTP\shell\open\Command]

   Se o malware falhar, continua a ser executado como um processo.

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Andrei Gherman em terça-feira, 3 de janeiro de 2006
Descrição atualizada por Andrei Gherman em segunda-feira, 20 de fevereiro de 2006

Voltar . . . .