Имя:BDS/PcClient.JG
Обнаружен:25/12/2005
Вид:Backdoor сервер
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:46.439 байт.
Контрольная сумма MD5:831b22781ea5f2683cf8468f489065c0
Версия VDF:6.33.00.64

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдоним (alias):
   •  Bitdefender: Backdoor.PcClient.HP


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Выполненная копия программы удаляется.



Создаются следующие файлы:

%SYSDIR%\mesqrilw.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/PcClient.hp.1.B

%SYSDIR%\mesqrilw.drv Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/PcClient.kf.1

%SYSDIR%\drivers\mesqrilw.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/PcClient.hp.1.C

%SYSDIR%\mesqrilw.log Файл содержит строки введенных с клавиатуры символов



Попытка запустить на выполнение следующий файл:

– Имя файла:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw]
   • Type = 1
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\drivers\mesqrilw.sys
   • DisplayName = mesqrilw

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Security]
   • Security = %шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Enum]
   • 0 = Root\\LEGACY_MESQRILW\\0000
   • Count = 1
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW]
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW\0000]
   • Service = mesqrilw
   • Legacy = 1
   • ConfigFlags = 0
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = mesqrilw
   • Capabilities = 0



Изменяется следующий ключ реестра:

– [HKLM\SYSTEM\CurrentControlSet\Services\SENS\Parameters]
   Прежнее значение:
   • ServiceDll = %SYSDIR%\sens.dll
   Новое значение:
   • ServiceDll = %SYSDIR%\mesqrilw.dll

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://dynsev5299.2mydns.com/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\mesqrilw.dll

    Имя процесса:
   • iexplorer.exe



–  Следующий файл вставляется в процесс: %SYSDIR%\mesqrilw.drv

    Имя процесса:
   • iexplorer.exe


 Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.


Скрывает следующее:
– Собственные файлы
– Собственный процесс
– Собственные ключи реестра

– Файлы со следующей последовательностью символов в именах:
   • mesqrilw.


Используемый метод:
    • Невидимый из Windows API

Внедряется в следующие API-функции:
   • NtDeviceIoControlFile/ZwDeviceIoControlFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtOpenKey/ZwOpenKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/ZwQuerySystemInformation

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Gherman в(о) пятница, 21 апреля 2006 г.
Описание обновил Andrei Gherman в(о) пятница, 21 апреля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.