VírusBDS/Verify.K.1
Data em que surgiu:06/03/2005
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:32.256 Bytes
MD5 checksum:e7d155c42fe5e7d13f92e533436c5bda
Versão VDF:6.30.00.225

 Vulgarmente Meio de transmissão:
   • Peer to Peer


Alias:
   •  Symantec: Backdoor.Verify
   •  Mcafee: BackDoor-CNQ
   •  Kaspersky: Backdoor.Win32.Verify.k
   •  TrendMicro: BKDR_VERIFY.E
   •  F-Secure: BACKDOOR PROGRAM
   •  Grisoft: BackDoor.Small.43.J
   •  Bitdefender: Backdoor.Verify.K


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\pVF.pMK
   • %SYSDIR%\msidle32.exe
   • %raiz da unidade de sistema%\MsBootMgr.exe



Muda o nome dos seguintes ficheiros:

    •  ntldr Para: loveyou_pTH
    •  msdos.sys Para: loveyou_pTH.sys



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %SYSDIR%\pMK_readme.txt
   • %SYSDIR%\pMK_wLog.txt
   • %SYSDIR%\pMK_kLog.txt
   • %SYSDIR%\pMK_kLogF.txt
   • %SYSDIR%\music.mid

%WINDIR%\smss.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Verify.J.1

%SYSDIR%\MsIdle32Hook.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Verify.H.2

%SYSDIR%\MsIdle32loader.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Verify.K




Tenta efectuar o download do ficheiro:

– A partir das seguintes localizações:
   • freewebs.com/rhspyx007/**********
   • websamba.com/rhspyx007/**********
   • siteburg.com/download/**********
Encontra-se no disco rígido: %TEMPDIR%\pVF_update.exe Além disso executa-se depois do download estar completo. Ainda em fase de pesquisa.

 Registry (Registo do Windows) A chave seguinte é adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "msidle32.exe"="%SYSDIR%\msidle32.exe"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pVF]
   • "pVF_Version"=dword:0000082e

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\msidle32.exe"="%SYSDIR%\msidle32.exe:*:Enabled:Remote Access"

– [HKCR\CLSID\{319A31D4-9194-41e4-8450-A5F99BD0FA0A}]
   • @="MsIdle32loader.dll"

– [HKCR\CLSID\{319A31D4-9194-41e4-8450-A5F99BD0FA0A}\InprocServer32]
   • @="%SYSDIR%\MsIdle32loader.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "MsIdle32loader.dll"="{319A31D4-9194-41e4-8450-A5F99BD0FA0A}"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   {319A31D4-9194-41e4-8450-A5F99BD0FA0A}]
   • @="MsIdle32loader.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\pVF.exe]
   • @="%SYSDIR%\msidle32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002

 E-mail Não tem a sua própria rotina de propagação mas tem capacidade para enviar um e-mail. É provável que o destinatário seja o autor. As características são as seguintes:


De:
O endereço do remetente é falsificado.
O remetente do e-mail é o seguinte:
   • pVF2@pMK.pTH
O destinatário do e-mail é o seguinte:
   • pMK29A@yahoo.com


Assunto:
O seguinte:
   • pVF v2 Report



Corpo:
O conteúdo é igual ao do ficheiro: pMK_kLog.txt



O email pode ser parecido com o seguinte:


 Mailing MX Server:
Tem capacidade para contactar um dos seguintes servidores MX:
   • smtp.server.localhost
   • mail.eircom.net
   • smtp.wanadoo.fr

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:


   Procura directórios com os seguintes textos:
   • user
   • system
   • book
   • game
   • pic
   • media
   • download
   • upload
   • share
   • music
   • doc
   • program
   • soft

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • MU Korea new!!.exe; Shower girl.exe; _-_Click_-Me!_.exe; Microsoft
      Office 2003 Crack.exe-_-Secret-_-.exe; ACDSee 8.0 beta.exe; Free
      telephone.exe; I want to say that....exe; Age of Empires new !!!.exe;
      MU online-update.exe; kiss me.jpg.exe; Windows XP update new.exe;
      Mirosoft Windows Longhorn beta test.exe; Monster.jpg.exe; Love
      you....exe; Hack Yahoo! Pass.exe; Linkin' Park.jpg.exe; My
      Diary.doc.exe; Top Secret.exe; Manga news.html.exe; Kid1412.jpg.exe;
      Sherlock Homes.doc.exe; Conan Doyle.jpg.exe; Ichi shinpo.jpg.exe;
      Yahoo! Smiley new !.exe; FiFa WorldCup 2006 Beta.exe; Nero 7.0
      Full.exe; WinRAR 4.0 Full.exe; fun fun fun.exe; Fantasy XII
      Update.exe; Half-Life 2 Update.exe; Windows XP source code.exe; Norton
      Antivirus Update.exe; Spy search and destroy new!.exe; bikini.jpg.exe;
      UFO.doc.exe; The X-files.jpg.exe; XXX-Cindy.jpg.exe; XXX-Britney
      Spears.jpg.exe; Sexy girl.jpg.exe; xxx_Girl.jpg.exe; BinLaden
      PPP.jpg.exefucker.jpg.exe; Sweet Valetine.exe; Love to kick boot.exe;
      Yahoo! Account Cracker.exe; WinAmp 6.0 Full.exe; nude_girl.jpg.exe;
      H.O.T news.html.exe; ZaiZai smileys.jpg.exe; Hillary Duff -
      nude.jpg.exe; Photoshop 9.0 Full.exe; Hot Sexxxxx.avi.exe


 Terminar o processo A seguinte lista de processos são terminados:
   • @ZONEALARM.EXE; WEBSCANX.EXE; VSSTAT.EXE; VSHWIN32.EXE; VSECOMR.EXE;
      VSCAN40.EXE; VETTRAY.EXE; VET95.EXE; TDS2-NT.EXE; TDS2-98.EXE;
      TBSCAN.EXE; SWEEP95.EXE; F-STOPW.EXE; SPHINX.EXE; SERV95.EXE;
      SCRSCAN.EXE; SCANPM.EXE; SCAN95.EXE; SCAN32.EXE; SAFEWEB.EXE;
      RESCUE.EXE; RAV7WIN.EXE; RAV7.EXE; F-PROT95.EXE; F-PROT.EXE;
      PERSFW.EXE; PCFWALLICON.EXE; PCCWIN98.EXE; PAVW.EXE; PAVCL.EXE;
      PADMIN.EXE; OUTPOST.EXE; NVC95.EXE; NUPGRADE.EXE; NORMIST.EXE;
      NISUM.EXE; NAVWNT.EXE; NAVNT.EXE; NAVLU32.EXE; NAVAPW32.EXE;
      N32SCANW.EXE; MPFTRAY.EXE; MOOLIVE.EXE; LUALL.EXE; LOOKOUT.EX;
      LOCKDOWN2000.EXE; JEDI.EXE; IOMON98.EXE; IFACE.EXE; ICSUPPNT.EXE;
      ICSUPP95.EXE; ICMON.EXE; ICLOADNT.EXE; ICLOAD95.EXE; IBMAVSP.EXE;
      IBMASN.EXE; IAMSERV.EXE; IAMAPP.EXE; FPROT.EXE; FINDVIRU.EXE;
      ESPWATCH.EXE; ESAFE.EXE; ECENGINE.EXE; DVP95_0.EXE; CLEANER3.EXE;
      CLEANER.EXE; CLAW95CF.EXE; CLAW95.EXE; CFINET32.EXE; CFINET.EXE;
      CFIAUDIT.EXE; CFIADMIN.EXE; BLACKICE.EXE; BLACKD.EXE; AVWUPD32.EXE;
      AVWIN95.EXE; AVSCHED32.EXE; AVPUPD.EXE; AVPTC32.EXE; AVPDOS32.EXE;
      AVNT.EXE; AVKSERV.EXE; AVGCTRL.EXE; AVE32.EXE; AVCONSOL.EXE;
      AUTODOWN.EXE; APVXDWIN.EXE; ANTI-TROJAN.EXE; ACKWIN32.EXE; PVIEW.EXE;
      TASKMGR.EXE; REGEDIT.EXE; MSCONFIG.EXE; D32.EXE; BKAV2002.EXE;
      PAVSCHED.EXE; NMAIN.EXE; NAVW32.EXE; NAVAPSVC.EXENAVAPW32.EXE;
      F-AGNT95.EXE; WFINDV32.EXE; AVPM.EXE; AVPCC.EXE; AVP32.EXE


 Backdoor São abertas as seguintes portas:

%ficheiro executado% numa porta TCP 1907 Para fornecer acesso Shell remoto.
%ficheiro executado% numa porta TCP 1906 Por forma a fornecer capacidades backdoor.


Contacta o servidor:
Seguinte:
   • ftp://ftp22.websamba.**********

Como resultado pode enviar alguma informação.

Envia informação sobre:
    • Nome do computador
    • Variáveis de ambiente
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows


Capacidades de controlo remoto:
    • Download de ficheiros
    • Executa o ficheiro
    • Envia emails
    • Inicia o keylog
    • Termina processos
    • Upload de ficheiros

 Roubos de informação – É iniciada uma rotina de logging depois de digitadar um dos seguintes textos:
   •  securit
   •  dial
   •  credit
   •  admin
   •  pass
   •  ftp
   •  mail
   •  profile
   •  account
   •  regist
   •  sign
   •  log on
   •  log in
   •  logon
   •  login

– Captura:
    • Teclar
    • Janela de informação

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • ::. Love_you_pTH .::


Texto:
Além disso tem o seguinte texto:
   • ---[ pMK_VeryFun - Written by pMK - (c) 2005]---

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Ionut Slaveanu em quarta-feira, 3 de maio de 2006
Descrição atualizada por Ionut Slaveanu em quinta-feira, 4 de maio de 2006

Voltar . . . .