VírusBDS/GrayBird.LE
Data em que surgiu:21/09/2006
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:384.835 Bytes
MD5 checksum:aba8e6611ab80E5d747b32464674faf6
Versão VDF:6.35.01.115
Versão IVDF:6.35.01.116 - segunda-feira, 21 de agosto de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: BackDoor-ARR trojan
   •  Kaspersky: Backdoor.Win32.GrayBird.le
   •  Sophos: Troj/Bckdr-OXB
   •  Bitdefender: Backdoor.Graybird.FN


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\Hacker.com.cn.ini



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

%WINDIR%\uninstal.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://www.bfliao.27h.com/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows XP Vista ]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\Hacker.com.cn.ini"
   • "DisplayName"="Windows XP Vista "
   • "ObjectName"="LocalSystem"
   • "Description"="»Ò¸ë×Ó·þÎñ¶Ë³ÌÐò¡£Ô¶³Ì¼à¿Ø¹ÜÀí."

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows XP Vista \
   Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows XP Vista \
   Enum]
   • "0"="Root\LEGACY_WINDOWS_XP_VISTA________\0000"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_WINDOWS_XP_VISTA________\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Windows XP Vista "

 Backdoor É aberta a seguinte porta:

%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE numa porta TCP 8080 Por forma a fornecer um servidor HTTP.

Capacidades de controlo remoto:
    • Desactiva partilhas de rede
    • Activa partilhas de rede
    • Executa o ficheiro

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • Hacker.com.cn_MUTEX


Anti debugging
Confirma se o seguinte programa está a ser executado:
   • SoftIce


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • PEPack

Descrição enviada por Monica Ghitun em quinta-feira, 21 de setembro de 2006
Descrição atualizada por Andrei Ivanes em quinta-feira, 19 de outubro de 2006

Voltar . . . .