BDS/GrayBird.LE - Backdoor Server

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	BDS/GrayBird.LE
Data em que surgiu:	21/09/2006
Tipo:	Servidor Backdoor
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	384.835 Bytes
MD5 checksum:	aba8e6611ab80E5d747b32464674faf6
Versão VDF:	6.35.01.115
Versão IVDF:	6.35.01.116 - Mon, 21 Aug 2006 09:55 (GMT+1)

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Mcafee: BackDoor-ARR trojan
   • Kaspersky: Backdoor.Win32.GrayBird.le
   • Sophos: Troj/Bckdr-OXB
   • Bitdefender: Backdoor.Graybird.FN

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %WINDIR%\Hacker.com.cn.ini

Apaga a cópia executada inicialmente.

É criado o seguinte ficheiro:

– %WINDIR%\uninstal.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
• http://www.bfliao.27h.com/**********
Ainda em fase de pesquisa.

Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows XP Vista ]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\Hacker.com.cn.ini"
   • "DisplayName"="Windows XP Vista "
   • "ObjectName"="LocalSystem"
   • "Description"="»Ò¸ë×Ó·þÎñ¶Ë³ÌÐò¡£Ô¶³Ì¼à¿Ø¹ÜÀí."

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows XP Vista \
   Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows XP Vista \
   Enum]
   • "0"="Root\LEGACY_WINDOWS_XP_VISTA________\0000"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_WINDOWS_XP_VISTA________\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Windows XP Vista "

Backdoor É aberta a seguinte porta:

– %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE numa porta TCP 8080 Por forma a fornecer um servidor HTTP.

Capacidades de controlo remoto:
    • Desactiva partilhas de rede
    • Activa partilhas de rede
    • Executa o ficheiro

Informações diversas Mutex:
Cria o seguinte Mutex:
• Hacker.com.cn_MUTEX

Anti debugging
Confirma se o seguinte programa está a ser executado:
• SoftIce

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em Delphi.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• PEPack

Veja aqui uma breve descrição.

Descrição adicionada por Monica Ghitun em Thu, 21 Sep 2006 16:11 (GMT+1)
Descrição adicionada por Andrei Ivanes em Thu, 19 Oct 2006 14:18 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back