BDS/Virkel.A - Backdoor Server

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	BDS/Virkel.A
Data em que surgiu:	28/10/2005
Tipo:	Servidor Backdoor
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	De baixo a médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	104.960 Bytes
MD5 checksum:	87768eb9f0beaaac91be85d82e010B95
Versão VDF:	6.32.00.117

Vulgarmente Meio de transmissão:
   • Messenger

Alias:
   • Symantec: W32.Chod.D
   • Kaspersky: Backdoor.Win32.Virkel.a
   • Bitdefender: Backdoor.Chodebot.A

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Bloqueia o acesso a Web sites de segurança
   • Desactiva aplicações de segurança
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\%uma série de caracteres aleatórios%\csrss.exe

Apaga a cópia executada inicialmente.

São criados os seguintes ficheiros:

– %SYSDIR%\%uma série de caracteres aleatórios%\smss.exe Além disso executa-se depois de gerado. O ficheiro serve para activar rotinas internas.
– %SYSDIR%\%uma série de caracteres aleatórios%\csrss.ini Contém parâmetros utilizados pelo malware.
– %SYSDIR%\netstat.com O ficheiro serve para activar rotinas internas.

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "csrss"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "csrss"=""

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%SYSDIR%\%uma série de caracteres aleatórios%\csrss.exe"
   • "run=%SYSDIR%\%uma série de caracteres aleatórios%\csrss.exe"

As seguintes chaves de registo e todos os valores são eliminados:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CleanUp]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCAgentExe]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCUpdateExe]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VirusScan Online]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VSOCheckTask]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCAgentExe]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCUpdateExe]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec NetDriver Monitor]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SmcService]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Outpost Firewall]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gcasServ]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pccguide.exe]

São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"="1"
   • "NoAdminPage"="1"

Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger
– MSN Messenger

IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: bak.**********.net
Porta: 37737
Canal #.upd
Nickname: %texto com 10 dígitos aleatórios%

Servidor: pjn.**********.net
Porta: 37737
Canal #.upd
Nickname: %texto com 10 dígitos aleatórios%

– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Captura do ecrã
    • Velocidade do CPU
    • Utilizador Actual
    • Detalhes acerca dos drivers
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Platform ID
    • Informação sobre processos em execução
    • Capacidade da memória
    • Directório do Windows
    • Informação sobre o sistema operativo Windows

– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS ICMP floods
    • Lança DDoS TCP floods
    • Lança DDoS UDP floods
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Editar o registo do Windows
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Termina processos
    • Abandona canais IRC
    • Abre ligações remotas
    • Registar um serviço
    • Termina processos
    • Actualiza-se a ele próprio
    • Upload de ficheiros

Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso não haverá alterações.

– O acesso aos seguintes domínios é bloqueado:
   • avp.com; www.avp.com; ca.com; dispatch.mcafee.com;
      download.mcafee.com; f-secure.com; fastclick.net; ftp.f-secure.com;
      ftp.sophos.com; liveupdate.symantec.com; customer.symantec.com;
      pccguide.exe rads.mcafee.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; nai.com; networkassociates.com; secure.nai.com;
      securityresponse.symantec.com; service1.symantec.com; sophos.com;
      support.microsoft.com; symantec.com; update.symantec.com;
      updates.symantec.com; us.mcafee.com; vil.nai.com; viruslist.com;
      www.viruslist.com; www.awaps.net; www.ca.com; www.f-secure.com;
      www.fastclick.net; www.mcafee.com; www.microsoft.com;
      www.my-etrust.com; www.nai.com; www.networkassociates.com;
      www.sophos.com; www.symantec.com; www3.ca.com; www.grisoft.com;
      grisoft.com; housecall.trendmicro.com; trendmicro.com;
      www.trendmicro.com; www.pandasoftware.com; pandasoftware.com;
      kaspersky.com; www.kaspersky.com; www.zonelabs.com; zonelabs.com;
      www.spywareinfo.com; spywareinfo.com; www.merijn.org; merijn.org

O ficheiro hospedeiro (alterado) terá a seguinte aparência:

Terminar o processo A seguinte lista de processos são terminados:
   • mpftray.exe; microsoft antispyware*; hijackthis*; msconfig.exe;
      kav.exe; kavsvc.exe; mcvsshld.exe; mcagent.exe; mcvsrte.exe;
      mcshield.exe; mcvsftsn.exe; mcdash.exe; mcvsescn.exe; mcinfo.exe;
      mpfagent.exe; CIzh_DataArrival; mpfservice.exe; mskagent.exe;
      mcmnhdlr.exe; sndsrvc.exe; usrprmpt.exe; ccapp.exe; ccevtmgr.exe;
      spbbcsvc.exe; ccsetmgr.exe; symlcsvc.exe; npfmntor.exe; navapsvc.exe;
      issvc.exe; ccproxy.exe; tmpfw.exe; navapw32.exe; navw32.exe; smc.exe;
      outpost.exe; zlclient.exe; vsmon.exe; isafe.exe; pandaavengine.exe;
      regedit.exe; hijackthis.exe; gcasdtserv.exe; gcasserv.exe;
      pcctlcom.exe; tmntsrv.exe; tmproxy.exe; pcclient.exe; ethereal.exe;
      wpe pro.exe; nat.exe; winsp3.exe; zonealarm.exe; zlclient.exe;
      vsmon.exe; mcupdmgr.exe; pccguide.exe; scrpres.dll; mcvsscrp.dll;
      vsmonapi.dll

São terminados os processos com um dos seguintes textos:
   • KAVPersonal50; Zone Labs Client; Symantec Core LC; services;
      OutpostFirewall; Tmntsrv; tmproxy; TmPfw; PcCtlCom; CAISafe; vsmon;
      SBService; SAVScan; SPBBCSvc; ccSetMgr; ccPwdSvc; ccProxy; SNDSrvc;
      ccEvtMgr; navapsvc; ISSVC; GuardDogEXE; MpfService; MCVSRte; McShield;
      kavsvc

Lista de serviços desactivados:
   • Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
   • System Restore Service
   • Microsoft AntiSpyware Server Process
   • System Restore Service
   • Windows Security Center Service

Informações diversas Ligação à internet:
Para conferir a sua ligação à internet são contatados os seguintes servidores de DNS :
   • dynupdate.**********.info
   • bak.**********.info

Mutex:
Cria o seguinte Mutex:
   • ChodeBot 8=D

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em Visual Basic.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• PE Compact 2.X

Veja aqui uma breve descrição.

Descrição adicionada por Catalin Jora em Fri, 28 Oct 2005 10:44 (GMT+1)
Descrição adicionada por Catalin Jora em Wed, 02 Nov 2005 11:45 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back