VírusBDS/Agent.FK.2
Data em que surgiu:12/09/2006
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:66.560 Bytes
MD5 checksum:8b1989f14257e9a05044d34d94d1af47
Versão VDF:6.35.01.215
Versão IVDF:6.35.01.219 - quarta-feira, 13 de setembro de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Backdoor.Win32.Agent.fk
   •  TrendMicro: BKDR_AGENT.ETZ
   •  F-Secure: Backdoor.Win32.Agent.fk
   •  Grisoft: BackDoor.Agent.CJW
   •  Eset: Win32/Agent.NBG


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Guarda as teclas digitadas
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros São criados os seguintes ficheiros:

%SYSDIR%\w32setng.dat
%SYSDIR%\Netx1.dat O ficheiro contém informação das teclas pressionadas.
%SYSDIR%\Netx2.dat O ficheiro contém informação das teclas pressionadas.
%SYSDIR%\Netxk.datQ O ficheiro contém informação das teclas pressionadas.



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • www.geocities.com/sbstnrother/**********
Encontra-se no disco rígido: %temporary internet files%\ngaq.zip Ainda em fase de pesquisa.

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: paln.fw.**********
Porta: 4668
Canal #net2
Nickname: USA|%sistema operativo%|%quatro caracteres aleatórios%

Servidor: srother.kwik.**********
Porta: 4669
Canal #net1
Nickname: USA|%sistema operativo%|%quatro caracteres aleatórios%

Servidor: quant.mooo.**********
Porta: 4669
Canal #net3
Nickname: USA|%sistema operativo%|%quatro caracteres aleatórios%



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Informação sobre processos em execução
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS SYN floods
    • Lança DDoS TCP floods
    • Lança DDoS UDP floods
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Termina processos
    • Inicia o keylog
    • Termina processos

 Informações diversas  Procura uma ligação de internet contactando o seguinte web site:
   • www.cnn.com

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • PECompact2

Descrição enviada por Adriana Popa em sexta-feira, 13 de outubro de 2006
Descrição atualizada por Adriana Popa em sexta-feira, 13 de outubro de 2006

Voltar . . . .