Nume:BDS/Glecia.D
Descoperit pe data de:20/10/2009
Tip:Backdoor Server
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:61.440 Bytes
MD5:3b2064e0b51f242d1955cb402653201c
Versiune IVDF:7.01.06.126 - terça-feira, 20 de outubro de 2009

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Packed.Win32.Krap.x
   •  F-Secure: Packed.Win32.Krap.x
   •  Eset: Win32/Kryptik.AWF


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere – %SYSDIR%\sys.dat Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Glecia.A

– %SYSDIR%\bhdvgtueyitf.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Glecia.A

– c:\%directorul de activare malware%\sys.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCR\CLSID\{%CLSID%}]
   • "(Default)"="Microsoft Online Helper!"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{%CLSID%}]
   • "(Default)"="Microsoft Online Helper!"

– [HKCR\CLSID\{%CLSID%}\InProcServer32]
   • "(Default)"=hex(2):%valori hex%
   • "ThreadingModel"="Apartment"



Urmatoarea cheie din registri este modificata:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Noua valoare:
   • ^%\E$@@
   • n%^a&^()%b
   • (^$%l%(^%$e(^& ^%\
   • $%r$$^%o$
   • (%w@$%
   • $s%^^%$e%^(()(*& %
   • E*&^&x$(%%t%$
   • $@e^^%@(n
   • $%s))
   • %i*^o$%$^$^n(&*s(%^&="yes"

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Subiect:
Urmatorul:
   • DHL service. Please get your parcel. Delivery NR.163400



Corpul email-ului:
Corpul email-ului este unul din textele:
   • Hello!
   •
   • The courier company was not able to deliver your parcel by your address.
   • Cause: Error in shipping address.
   •
   • You may pickup the parcel at our post office personaly!
   •
   • Please note!
   • The shipping label is attached to this e-mail.
   • Please print this label to get this package at our post office.
   •
   •
   • Thank you for attention.
   • DHL Global Forwarding Services.


Atasament:
Numele fisierului atasat este urmatorul:
   • DHL_package_label_6f1aa.zip

Atasamentul este o arhiva ce contine chiar o copie malware.



Email-ul arata astfel:


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Tobias Gruber em terça-feira, 20 de outubro de 2009
Descrição atualizada por Philipp Wolf em terça-feira, 20 de outubro de 2009

Voltar . . . .