VírusBDS/Rukap.BQ
Data em que surgiu:13/12/2006
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:82.432 Bytes
MD5 checksum:ad2b75dfc3df41f89a6c100f0e2b7a05
Versão VDF:6.35.01.100
Versão IVDF:6.35.01.101

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: BackDoor-CZY
   •  Kaspersky: Backdoor.Win32.Rukap.bq
   •  Grisoft: BackDoor.Generic3.HPB
   •  Eset: Win32/Rukap.BQ
   •  Bitdefender: Backdoor.Rukap.BQ


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\DirectRomp\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\DirectRomp]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%directório de execução do malware%/%ficheiro executado%"
     "DisplayName"="DirectX Service"
     "ObjectName"="LocalSystem"
     "Description"="Improve the performance of games and multimedia programs"



É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\DirectRomp]
   • "luko"="%uma série de caracteres aleatórios%"

 Backdoor É aberta a seguinte porta:

%directório de execução do malware%/%ficheiro executado% numa porta TCP 2773 de forma a fornecer um servidor proxy Socks 5.


Contacta o servidor:
Seguintes:
   • http://www.ruspromotion.net/site/**********
   • http://www.clicking2rewards.com/**********
   • http://www.stormpay.com/**********
   • http://www.megacashclicks.net/**********

Depois de ligado obtém uma lista adicional de servidores.

 Informações diversas Anti debugging
Confirma se o seguinte ficheiro existe:
   • SoftIce


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • PESpin

Descrição enviada por Monica Ghitun em quarta-feira, 13 de dezembro de 2006
Descrição atualizada por Monica Ghitun em quinta-feira, 21 de dezembro de 2006

Voltar . . . .