VírusBDS/HacDef.FV.1.A
Data em que surgiu:27/07/2006
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:88.576 Bytes
MD5 checksum:f2c34a56a33ee7a22e77a217f5c9e92b
Versão VDF:6.35.01.08
Versão IVDF:6.35.01.08

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: BackDoor-DIZ
   •  Kaspersky: Backdoor.Win32.HacDef.fw
   •  F-Secure: Backdoor.Win32.HacDef.fw
   •  Sophos: Troj/HacDef-DJ
   •  Bitdefender: Backdoor.Hacdef.AG


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%directório de execução do malware%\%ficheiro executado% /service"
   • "DisplayName"="Print Spooler Service"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227\Enum
   • "0"="Root\LEGACY_SPOOLSVC227\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227\Security
   • "Security"=%valores hex%



O seguinte valor do registo é alterado:

– HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent
   Valor anterior:
   • "(default)"=dword:0000000d
   Valor recente:
   • "(default)"=dword:0000000e

 Backdoor Contacta o servidor:
Um dos seguintes:
   • 143.215.**********:447(UDP)
   • 143.215.**********:447(UDP)
   • 207.44.**********:447(UDP)

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Também, repete a ligação periodicamente.

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • 135363240

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Teodor Onisor em segunda-feira, 2 de outubro de 2006
Descrição atualizada por Teodor Onisor em segunda-feira, 2 de outubro de 2006

Voltar . . . .