BDS/VB.awr.35 - Backdoor Server

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	BDS/VB.awr.35
Data em que surgiu:	19/03/2007
Tipo:	Servidor Backdoor
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	420.299 Bytes
MD5 checksum:	ecf789e622ab53b9761595f51e63423a
Versão VDF:	6.38.00.74
Versão IVDF:	6.38.00.76

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Backdoor.Win32.VB.awr
   • F-Secure: Backdoor.Win32.VB.awr

Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Bloqueia o acesso a Web sites de segurança
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %WINDIR%\scvhost.exe

São criados os seguintes ficheiros:

– Ficheiro não malicioso:
• %WINDIR%\MSWINSCK.OCX

– %SYSDIR%\offlog.txt O ficheiro contém informação das teclas pressionadas.

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RUNSERVICES]
   • "Windows Update"="%WINDIR%\scvhost.exe"
   • "msconfig"="%WINDIR%\scvhost.exe"
   • "icq lite"="%WINDIR%\scvhost.exe"
   • "Update Checker"="%WINDIR%\scvhost.exe"
   • "AntiVir"="%WINDIR%\scvhost.exe"
   • @="%WINDIR%\scvhost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update"="%WINDIR%\scvhost.exe"
   • "msconfig"="%WINDIR%\scvhost.exe"
   • "icq lite"="%WINDIR%\scvhost.exe"
   • "Update Checker"="%WINDIR%\scvhost.exe"
   • "AntiVir"="%WINDIR%\scvhost.exe"
   • @="%WINDIR%\scvhost.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%WINDIR%\scvhost.exe"

Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso valores existentes serão alterados.

– O acesso aos seguintes domínios é bloqueado:
   • dl1.avgate.net
   • dl2.avgate.net
   • dl3.avgate.net
   • dl4.avgate.net
   • dl5.avgate.net
   • dl6.avgate.net
   • dl7.avgate.net
   • dl8.avgate.net
   • dl9.avgate.net

Backdoor Contacta o servidor:
Seguinte:
• arcrol3**********:1338

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.

Veja aqui uma breve descrição.

Descrição adicionada por Gabriel Mustata em Fri, 16 Mar 2007 08:46 (GMT+1)
Descrição adicionada por Andrei Gherman em Mon, 26 Mar 2007 12:08 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back