BDS/Agent.nin - Backdoor Server

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	BDS/Agent.nin
Data em que surgiu:	13/11/2007
Tipo:	Servidor Backdoor
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	53248 Bytes
MD5 checksum:	0a1c9f1cfacb21ebe0ca2e5a4e017f2b
Versão VDF:	7.00.00.208
Versão IVDF:	7.00.00.216

Vulgarmente Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Desactiva aplicações de segurança
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Envia uma cópia de si mesmo usando um nome seguinte lista:
– Para: %SYSDIR\ Usando um dos nomes seguintes:
   • winhelp%uma série de caracteres aleatórios%%número% .exe
   • wincheck%uma série de caracteres aleatórios%%número% .exe
   • system%uma série de caracteres aleatórios%%número% .exe
   • lsas%uma série de caracteres aleatórios%%número% .exe
   • svctoc%uma série de caracteres aleatórios%%número% .exe

Apaga a cópia executada inicialmente.

Registry (Registo do Windows) A chave seguinte é adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Winupdates"="%SYSDIR%\%ficheiro executado%.exe"

Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\%ficheiro executado%.exe"="%SYSDIR%\%ficheiro
      executado%.exe:*:Enabled:\%ficheiro executado%"

É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\Windows Updates\RM]

Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Windows Updates]
   Valor recente:
   • "Name"="%ficheiro executado%"
     "CurrentVersion"=dword:00000023
     "Last Update"="% data actual% %tempo actual%"
     "Next Update"="% data actual% %tempo actual%"
     "Id"="%número hexadecimal%"

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor recente:
   • "FirewallOverride"=dword:00000001
     "AntiVirusOverride"=dword:00000001

Backdoor É aberta a seguinte porta:

– %SYSDIR%\%ficheiro executado%.exe numa porta TCP aleatória Por forma a fornecer capacidades backdoor.

Contacta o servidor:
Seguintes:
   • http://87.249.38.126/asg234/**********
   • http://87.249.38.126/asg234/update/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito usando o método HTTP GET através de scripts PHP.

Envia informação sobre:
    • Situação actual de malware
    • Porta aberta
    • Informação sobre o sistema operativo Windows

Capacidades de controlo remoto:
    • Download de ficheiros

Informações diversas Procura uma ligação de internet contactando o seguinte web site:
• http://www.windowsupdate.microsoft.com

Mutex:
Cria o seguinte Mutex:
• 68E1D888-19B3-4F40-8941-95EC38E4AF69

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Monica Ghitun em Thu, 15 Nov 2007 16:48 (GMT+1)
Descrição adicionada por Andrei Gherman em Wed, 28 Nov 2007 13:10 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back