BDS/Wollf.A.89 - Backdoor Server

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	BDS/Wollf.A.89
Data em que surgiu:	06/06/2006
Tipo:	Servidor Backdoor
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	60.252 Bytes
MD5 checksum:	f008512047da8d50c0967f45b61e9c8f
Versão VDF:	6.34.01.191
Versão IVDF:	6.34.01.197 - Wed, 07 Jun 2006 12:55 (GMT+1)

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Mcafee: BackDoor-ABM
   • Kaspersky: Backdoor.Win32.Wollf.a
   • TrendMicro: BKDR_WOLLF.AC
   • Eset: Win32/Wollf.16
   • Bitdefender: Backdoor.Wollf.A

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\nvicli.exe

Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\Novell WebClient
   • "Type"=dword:00000120
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\nvicli.exe"
   • "DisplayName"="Novell WebClient Service"
   • "ObjectName"="LocalSystem"

Backdoor É aberta a seguinte porta:

– %SYSDIR%\nvicli.exe numa porta TCP 24 Por forma a fornecer capacidades backdoor. Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

Envia informação sobre:
    • Palavras-chave armazenadas
    • Velocidade do CPU
    • Espaço disponível no disco
    • Memória disponível
    • Hardware
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Capacidade da memória
    • Directório de sistema
    • Nome de utilizador
    • Directório do Windows
    • Informação sobre o sistema operativo Windows

Capacidades de controlo remoto:
    • Muda de directório
    • Copia ficheiro
    • Apaga o ficheiro
    • Lista de directórios
    • Exibe uma mensagem
    • Download de ficheiros
    • Edita ficheiro
    • Editar o registo do Windows
    • Executa o ficheiro
    • Termina processos
    • Move ficheiro
    • Abre ligações remotas
    • Redireccionamento de porta
    • Reinicia
    • Envia emails
    • Desliga o sistema
    • Inicia o keylog
    • Termina processos
    • Visita um Web site

Informações diversas Texto:
Além disso tem o seguinte texto:
• Wollf Remote Manager

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Irina Boldea em Thu, 03 Aug 2006 09:04 (GMT+1)
Descrição adicionada por Irina Boldea em Thu, 03 Aug 2006 09:34 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back