VírusBDS/Ciadoor.BO
Data em que surgiu:30/07/2006
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De médio a elevado
Ficheiro estático:Sim
Tamanho:1.218.748 Bytes
MD5 checksum:655e5c9ea699d5ead17ad63529e09fe7
Versão VDF:6.35.1.21
Versão IVDF:6.35.1.21

 Vulgarmente Alias:
   •  Kaspersky: Backdoor.Win32.Ciadoor.bo
   •  Bitdefender: Backdoor.Ciadoor.FA


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\tz2L7ah3Pa.ini
   • %SYSDIR%\Directx.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %SYSDIR%\del32.bat

%SYSDIR%\drivers\oreans32.sys
%SYSDIR%\wsock32.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Ciadoor.13.B

%SYSDIR%\ckl009.dat O ficheiro contém informação das teclas pressionadas.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Generic Host Process"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run
   • "Generic Host Process"="%SYSDIR%\directx.exe"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"
   •

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "shell"="Explorer.exe %SYSDIR%\DirectX.exe"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
   • Generic Host Process"="%SYSDIR%\DirectX.exe"



Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices
   • "Generic Host Process"="%SYSDIR%\DirectX.exe"



O valor da seguinte chave Registo é eliminado:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}


Regista um Objecto de Ajuda do Browser (BHO) adicionando a seguinte chave ao registo do Windows:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}


São adicionadas as seguintes chaves ao registo:

– HKCR\N.Cs4\Clsid
   • "(Default)"="{E14DCE67-8FB7-4721-8149-179BAA4D792C}"

– HKCR\N.Cs4
   • "(Default)"="N.Cs4"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\VERSION
   • "(Default)"="3.0"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\TypeLib]
   • "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32
   • "ThreadingModel"="Apartment"
   • "(Default)"="%SYSDIR%\wsock32.sys"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\ProgID
   • "(Default)"="N.Cs4"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
   • "(Default)"="N.Cs4"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib
   • "Version"="3.0"
   • "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
   ProxyStubClsid32
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
   ProxyStubClsid
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
   • "(Default)"="Cs4"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR
   • "(Default)"="%SYSDIR%"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32
   • "(Default)"="%SYSDIR%\wsock32.sys"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\FLAGS
   • "(Default)"="0"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0
   • "(Default)"="N"

– HKCU\Software\VB and VBA Program Settings\set\set
   • "set"="tz2L7ah3Pa.ini"

– HKLM\SYSTEM\ControlSet003\Services\Messenger
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet003\Services\ATS
   • "Start"=dword:00000000

– HKCU\Software\Policies\Microsoft\Windows\System
   • "DisableCMD"=dword:00000001

– HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
   • "Disabled"=dword:00000000

– HKCR\..DlI
   • "(Default)"="exefile"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%SYSDIR%\DirectX.exe"

– HKLM\SYSTEM\ControlSet001\Services\SENS
   Valor recente:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\SENS
   Valor recente:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet003\Services\SENS
   Valor recente:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\Nla
   Valor recente:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\Nla
   Valor recente:
   • "Start"=dword:0000000

– HKLM\SYSTEM\ControlSet003\Services\Nla
   Valor recente:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\Messenger
   Valor recente:
   • "Start"=dword:0000000

– HKLM\SYSTEM\ControlSet002\Services\Messenger
   Valor recente:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\ATS
   Valor recente:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\ATS
   Valor recente:
   • "Start"=dword:00000000

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   Valor anterior:
   • "load"=""
   Valor recente:
   • "load"="%SYSDIR%\DirectX.exe"

 Infecção da rede  Exploit:
Faz uso dos seguintes Exploits:
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

 Backdoor Contacta o servidor:
Seguinte:
   • doener.no-ip.**********:314

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

Envia informação sobre:
    • Captura do ecrã
    • Imagens capturas a partir de webcam
    • Utilizador Actual
    • Informação sobre processos em execução
    • Informação sobre o sistema operativo Windows


Capacidades de controlo remoto:
    • Muda de directório
    • Copia ficheiro
    • Apaga o ficheiro
    • Lista de directórios
    • Exibe uma mensagem
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Move ficheiro
    • Reinicia
    • Envia emails
    • Desliga o sistema
    • Upload de ficheiros

 Roubos de informação Tenta roubar a seguinte informação:

– Captura:
    • Teclar
    • Janela de informação

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\wsock32.sys


– Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • %PROGRAM FILES%\Internet Explorer\IEXPLORER.exe

   Se concluir com êxito, o processo de malware termina enquanto a parte injetada permanece ativa.

 Informações diversas Anti debugging
Se concluir com êxito visualiza o seguinte e termina imediatamente:


 Tecnologia de Rootkit Oculta o seguinte:
– As suas próprias chaves de registo

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.

Descrição enviada por Bogdan Iliuta em segunda-feira, 31 de julho de 2006
Descrição atualizada por Bogdan Iliuta em sexta-feira, 4 de agosto de 2006

Voltar . . . .