Имя:BDS/Bandok.R.2
Обнаружен:20/12/2005
Вид:Backdoor сервер
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:20.480 байт.
Контрольная сумма MD5:4A69364DF3EA6AF14FCEAFA910C2502B
Версия VDF:6.33.00.25

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдоним (alias):
   •  Kaspersky: Backdoor.Win32.Bandok.r


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\msnmsgr.exe



Удаляется следующий файл:
   • c:\ali.html

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "*none"="%SYSDIR%\msnmsgr.exe"



Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion]
   • "bndkrt"="1648|msnmsgr.exe|none|1930|x|"

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {C6AB07ND-ADF3-4F02-0EE5-A156BTF-8AZ9}]
   • "StubPath"="%SYSDIR%\msnmsgr.exe"

 Backdoor Устанавливает соединение с сервером
Следующий:
   • **********.servemp3.com

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Передает информацию о:
    • Кэшированные пароли
    • Информация о запущенных процессах


Возможности удаленного контроля:
    • Удалить файл
    • Перечень файлов директории
    • Загрузить файл
    • Обработать файл
    • Запустить файл
    • Остановить процесс
    • Перенаправить порт
    • Запуск программы контроля клавиатуры
    • Загрузить файл
    • Посещение веб-страницы

 Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • iexplore.exe

   При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.

 Разное Мьютекс:
Создается мьютекс:
   • bandook13

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Andrei Gherman в(о) вторник, 20 декабря 2005 г.
Описание обновил Andrei Gherman в(о) вторник, 20 декабря 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.