BDS/VB.agz - Backdoor Server

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	BDS/VB.agz
Descoperit pe data de:	24/12/2005
Tip:	Backdoor Server
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	30.720 Bytes
MD5:	65a87b2a54e20C6a2f2a097f0A45a39c
Versiune VDF:	6.33.00.63

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Mcafee: Keylog-Sters
   • Kaspersky: Backdoor.Win32.VB.agz
   • F-Secure: W32/Backdoor.HPK
   • VirusBuster: trojan Backdoor.VB.EAX

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Descarca fisiere malware
   • Creeaza un fisier
   • Modificari in registri

Fisiere Sterge copia initiala a virusului.

Sterge urmatorul fisier:
   • %cookies%\*.txt

Este creat fisierul:

– %directorul de activare malware%\%fisier executat%.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • %parametru linie de comanda%/%parametru linie de comanda%.dll
Fisierul este stocat pe hard disc la: %SYSDIR%%parametru linie de comanda%.dll In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

– Adresa este urmatoarea:
   • %parametru linie de comanda%/smss.exe
Fisierul este stocat pe hard disc la: %WINDIR%\smss.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Control\InitRegKey]
   • "initSmss"="0"
   • "initInstalled"="%random date%"
   • "initCount"="0"
   • "initNotAlive"="0"
   • "initID"="%numele computerului%-%cateva numere aleatoare de la 0 la 9%"
   • "initRegion"="other"
   • "initIP"="no_ip"
   • "initURLHTTP"="%parametru linie de comanda%/"
   • "initWWW4FTPupdate"="%parametru linie de comanda%?other"
   • "initWWW4FTPbackup"="%parametru linie de comanda%?other"
   • "initWWW4FileRedir"="%parametru linie de comanda%"
   • "initMajorVersion"="%parametru linie de comanda%"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{1E6CE4CD-161B-4847-B8BF-E2EF72299D69}]
   • "@"=" "

Backdoor Servere contactate:
Urmatorul:
   • %parametru linie de comanda%

Astfel se pot transmite informatii si se poate obtine control la distanta.

Trimte informatii despre:
    • Numele sistemului
    • Utilizatorul curent
    • Adresa IP
    • Statusul actual al malware-ului

Posibilitati de control la distanta:
    • descarcare fisier
    • Vizitarea unui website

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Visual Basic.

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• UPX

Pentru o descriere scurta click aici.

Descriere introdusa de Daniel Constantin la Tue, 10 Jan 2006 10:15 (GMT+1)
Descriere actualizata de Daniel Constantin la Tue, 10 Jan 2006 15:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back