BDS/Beast202.1 - Backdoor Server

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	BDS/Beast202.1
Tip:	Backdoor Server
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	54.100 Bytes
MD5:	55ff7e888a996e7eac6416041f4d1e7e

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Mcafee: BackDoor-AMQ
   • Kaspersky: Backdoor.Win32.Beastdoor.aq
   • F-Secure: W32/Beastdoor.AJ
   • Grisoft: BackDoor.Beastdoor.FG
   • Bitdefender: GenPack:Backdoor.Beastdoor.2.0.2.A

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza un fisier
   • Reduce setarile de securitate
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\ñsrss.exe
   • %SYSDIR%\mspjgq.com
   • %WINDIR%\msagent\msytdn.com

Este creat fisierul:

– Fisier inofensiv:
   • %SYSDIR%\pjgq.blf

Registrii sistemului Urmatoarele chei sunt adaugate in registri, in mod repetat, pentru a asigura pornirea procesului dupa reboot.

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {42AC0312-EE51-A3CC-EA32-40AA12E6115C}]
   • "StubPath"="%SYSDIR%\mspjgq.com"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "COM Service"="%WINDIR%\msagent\msytdn.com"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "COM Service"="%WINDIR%\msagent\msytdn.com"

Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer]
   • "ITBarLayout"=%valori hex%

Urmatoarele chei din registri sunt modificate:

Dezactiveaza Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

– [HKCU\Software\Microsoft\RAS Autodial\Control]
   Vechea valoare:
   • "LoginSessionDisable"=%setarile utilizatorului%
   Noua valoare:
   • "LoginSessionDisable"=dword:00000001

Backdoor Deschide portul

– %SYSDIR%\ñsrss.exe pe portul TCP 6666 pentru a oferi functionalitate de backdoor.

Servere contactate:
Urmatorul:
   • cdwar.hut1.ru/cgi-bin/baza/user/add/admin/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. In plus, conexiunea e reluata periodic. Aceasta se face printr-o interogare HTTP GET intr-un script CGI.

Trimte informatii despre:
    • Captura ecranului
    • Utilizatorul curent
    • Adresa IP
    • Statusul actual al malware-ului
    • Port deschis

Posibilitati de control la distanta:
    • repornirea sistemului
    • oprierea sistemului

DoS (Denial of Service) Imediat ce devine activ, porneste un atac DoS asupra urmatoarelor destinatii:
• microsoft.com
• nea.fr

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• UPX

Pentru o descriere scurta click aici.

Descriere introdusa de Daniel Constantin la Mon, 06 Feb 2006 11:50 (GMT+1)
Descriere actualizata de Daniel Constantin la Thu, 09 Feb 2006 13:42 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back