BDS/Agent.ahj.701 - Backdoor Server

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	BDS/Agent.ahj.701
Descoperit pe data de:	28/06/2007
Tip:	Backdoor Server
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	20.847 Bytes
MD5:	571f05c12e0d7489cc10fffab06ccfbd
Versiune VDF:	6.39.00.125
Versiune IVDF:	6.39.00.127

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Kaspersky: Backdoor.Win32.Agent.ahj
   • F-Secure: Backdoor.Win32.Agent.ahj
   • Grisoft: Agent.BTX

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Descarca fisiere malware
   • Creeaza un fisier malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

Fisiere Se copiaza in urmatoarea locatie:
• %SYSDIR%\%sir de 8 caractere aleatoare%.EXE

Sunt create fisierele:

– %SYSDIR%\%sir de 8 caractere aleatoare%.DLL Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Agent.14420

– %SYSDIR%\delmep.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\ControlSet001\Services\
   %sir de 8 caractere aleatoare%]
   • DisplayName="%sir de 8 caractere aleatoare%"
   • ErrorControl=dword:00000001
   • ImagePath="%SYSDIR%\%sir de 8 caractere aleatoare%.EXE -d"
   • ObjectName="LocalSystem"
   • Start=dword:00000002
   • Type=dword:00000010

– [HKCU\SYSTEM\CurrentControlSet\Services\
   %sir de 8 caractere aleatoare%]
   • Description="%sir de 8 caractere aleatoare%"
   • DisplayName="%sir de 8 caractere aleatoare%"
   • ImagePath="%SYSDIR%\%sir de 8 caractere aleatoare%.EXE -d"
   • ObjectName="LocalSystem"

Backdoor Servere contactate:

   • http://down.hunll.com/popwin/**********

Astfel se obtine control la distanta. Raspunsul serverului este scris in fisierul: %SYSDIR%\usdsddse.web

Posibilitati de control la distanta:
    • descarcare fisier
    • Vizitarea unui website

Injectarea codului malware in alte procese – Injecteaza fisierul urmator intr-un proces: %sir de 8 caractere aleatoare%.dll

    Unul din urmatoarele procese:
   • explorer.exe
   • winlogon.exe

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Pentru o descriere scurta click aici.

Descriere introdusa de Ernest Szocs la Mon, 02 Jul 2007 10:07 (GMT+1)
Descriere actualizata de Andrei Gherman la Mon, 16 Jul 2007 08:35 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back