BDS/Nanspy.C - Backdoor Server

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	BDS/Nanspy.C
Data em que surgiu:	07/10/2005
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	216.128 Bytes
MD5 checksum:	9C3D95E9D5C6DB594174C48AF2E3CFC0
Versão VDF:	6.32.0.67

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Backdoor.Win32.Nanspy.c

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Bloqueia o acesso a Web sites de segurança
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\spools.exe

São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %SYSDIR%\xffq.ssq
   • %SYSDIR%\ddq32.ssq
   • %SYSDIR%\ch1.ssq
   • %SYSDIR%\ch2.ssq
   • %SYSDIR%\ch3.ssq
   • %SYSDIR%\ch4.ssq
   • %SYSDIR%\xiecache.ssq

– %SYSDIR%\xbccd.log Contém um ID único do computador infectado.
– %SYSDIR%\xffq.ssq O ficheiro contém informação das teclas pressionadas.
– %SYSDIR%\ddq32.ssq O ficheiro contém informação das teclas pressionadas.
– %SYSDIR%\ch1.ssq O ficheiro contém informação das teclas pressionadas.
– %SYSDIR%\ch2.ssq O ficheiro contém informação das teclas pressionadas.
– %SYSDIR%\ch3.ssq O ficheiro contém informação das teclas pressionadas.
– %SYSDIR%\ch4.ssq O ficheiro contém informação das teclas pressionadas.
– %SYSDIR%\xiecache.ssq O ficheiro contém informação das teclas pressionadas.

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Spools Service Controller"="%SYSDIR%\spools.exe"

O valor da seguinte chave Registo é eliminado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• spools.exe

Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso não haverá alterações.

– O acesso aos seguintes domínios é redireccionado para outros destinos:
   • d-ru-1f.kaspersky-labs.com
   • d-ru-1h.kaspersky-labs.com
   • d-ru-2f.kaspersky-labs.com
   • d-ru-2h.kaspersky-labs.com
   • d-eu-2f.kaspersky-labs.com
   • d-eu-2h.kaspersky-labs.com
   • d-eu-1f.kaspersky-labs.com
   • d-eu-1h.kaspersky-labs.com
   • d-us-1f.kaspersky-labs.com
   • d-us-1h.kaspersky-labs.com
   • downloads1.kaspersky.ru
   • downloads2.kaspersky.ru
   • downloads3.kaspersky.ru
   • downloads4.kaspersky.ru
   • downloads5.kaspersky.ru
   • www.kaspersky.ru
   • kaspersky.ru
   • kaspersky-labs.com
   • www.kaspersky-labs.com

O ficheiro hospedeiro (alterado) terá a seguinte aparência:

Backdoor São abertas as seguintes portas:

– %SYSDIR%\spools.exe numa porta TCP aleatória Por forma a fornecer um servidor HTTP.
– %SYSDIR%\spools.exe de forma a fornecer um servidor proxy Socks 4.

Contacta o servidor:
Um dos seguintes:
   • http://66.235.160.**********/slogdrx.php
   • http://66.235.160.**********/slogch1.php
   • http://66.235.160.**********/slogch2.php
   • http://66.235.160.**********/slogch3.php
   • http://66.235.160.**********/slogch4.php
   • http://66.235.160.**********/slogcx.php
   • http://66.235.160.**********/logwmgx.php

Seguinte:
   • http://66.235.160.**********/wad/init2.txt

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito pelos métodos HTTP GET e POOS usando scripts PHP.

Envia informação sobre:
    • Nome do computador
    • Logfiles criados
    • Utilizador Actual
    • Endereço IP
    • Informação sobre processos em execução
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows

Capacidades de controlo remoto:
    • Apaga o ficheiro
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Ataque de Negação de Serviços (ataque DoS)
    • Reinicia
    • Termina processos

Roubos de informação Tenta roubar a seguinte informação:

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites:
   • www.e-gold.com; www.wamu.com; www.bankone.com; www.bankofamerica.com;
      tcfbank.com; adelaidebank.com.au; anz.com.au; cu.net.au; boq.com.au;
      bankwest.com.au; bendigobank.com.au; commbank.com.au; hsbc.com.au;
      ibisworld.com.au; macquarie.com.au; national.com.au; suncorp.com.au;
      stgeorge.com.au; online.westpac.com.au; nationalbank.co.nz;
      rbnz.govt.nz; bnz.co.nz; asbbank.co.nz; westpac.co.nz; kiwibank.co.nz;
      macquarie.com; anz.com; nabgroup.com; bankombudsman.org.nz

– Captura:
    • Janela de informação
    • Informação de login

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em Delphi.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Veja aqui uma breve descrição.

Descrição adicionada por Andrei Gherman em Mon, 10 Oct 2005 09:47 (GMT+1)
Descrição adicionada por Andrei Gherman em Thu, 13 Oct 2005 15:10 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back