BDS/Cakl.A.1 - Backdoor Server

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	BDS/Cakl.A.1
Data em que surgiu:	15/04/2006
Tipo:	Servidor Backdoor
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	324.096 Bytes
MD5 checksum:	9b203ebb193ae3a67d1874ed0062ad22
Versão VDF:	6.34.00.187

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Backdoor.Win32.Cakl.a
   • TrendMicro: BKDR_CAKL.D
   • Bitdefender: Trojan.PWS.PdPinch.GA

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\vms32.exe

São criados os seguintes ficheiros:

– %WINDIR%\hkr32.asm É um ficheiro de texto não malicioso com o seguinte conteúdo:
• % informação roubada%

– %SYSDIR%\ldapi32.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Cakl.A.1

– %SYSDIR%\ntcvx32.dll
– %SYSDIR%\ntswrl32.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Cakl.A.2

Registry (Registo do Windows) A chave seguinte é adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "vms32"="%SYSDIR%\vms32.exe"

As seguintes chaves de registo e todos os valores são eliminados:
   • [HKLM\SYSTEM\currentcontrolset\control\safeboot\minimal]
   • [HKLM\SYSTEM\currentcontrolset\control\safeboot\network]

Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\vms32.exe"="%SYSDIR%\vms32.exe:*:Enabled:Dnode"

São adicionadas as seguintes chaves ao registo:

– [HKCU\Software]
   • "Denese"="verme.serveftp.**********"
   • "PortNo"="15963"
   • "Kurban"="MANE"
   • "Password"="vermes"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal.xxx]
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\network.xxx]

Backdoor Contacta o servidor:
Seguinte:
   • verme.serveftp.**********:15963

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

Envia informação sobre:
    • Palavras-chave armazenadas
    • Nome do computador
    • Velocidade do CPU
    • Tipo de CPU
    • Logfiles criados
    • Informação recolhida na secção de roubos.
    • Informação sobre o sistema operativo Windows

Capacidades de controlo remoto:
    • Editar o registo do Windows
    • Executa o ficheiro

Roubos de informação Tenta roubar a seguinte informação:
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– As palavras-chave dos seguintes programas:
   • ICQ
   • Mozilla Firefox
   • Outlook
   • Internet Explorer
   • Windows Messenger
   • MSN Messenger

– Captura:
    • Teclar
    • Janela de informação

Informações diversas Mutex:
Cria o seguinte Mutex:
• TURKO3

Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.

Oculta o seguinte:
– Os seus próprios ficheiros
– O seu próprio processo

Forma utilizada
• Esconde-se na API do Windows

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em Delphi.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Veja aqui uma breve descrição.

Descrição adicionada por Iulia Diaconescu em Wed, 03 May 2006 11:27 (GMT+1)
Descrição adicionada por Iulia Diaconescu em Wed, 03 May 2006 16:34 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back