Имя:BDS/Ciadoor.BO
Обнаружен:30/07/2006
Вид:Backdoor сервер
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От среднего до высокого
Файл статистики:Да
Размер файла:1.218.748 байт.
Контрольная сумма MD5:655e5c9ea699d5ead17ad63529e09fe7
Версия VDF:6.35.1.21
Версия IVDF:6.35.1.21

 Общее Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.Ciadoor.bo
   •  Bitdefender: Backdoor.Ciadoor.FA


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Последствия:
   • Отключение приложений безопасности
   • Создает файлы
   • Создает потенциально опасный файл
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру


После запуска выдается следующая информация:


 Файлы Создаются собственные копии:
   • %SYSDIR%\tz2L7ah3Pa.ini
   • %SYSDIR%\Directx.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %SYSDIR%\del32.bat

%SYSDIR%\drivers\oreans32.sys
%SYSDIR%\wsock32.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Ciadoor.13.B

%SYSDIR%\ckl009.dat Файл содержит строки введенных с клавиатуры символов

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Generic Host Process"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run
   • "Generic Host Process"="%SYSDIR%\directx.exe"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"
   •

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "shell"="Explorer.exe %SYSDIR%\DirectX.exe"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
   • Generic Host Process"="%SYSDIR%\DirectX.exe"



Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices
   • "Generic Host Process"="%SYSDIR%\DirectX.exe"



Удаляется значение следующего ключа реестра:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}


С добавлением следующего ключа регистрируется BHO (browser helper object):

– HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}


Добавляются следующие ключи реестра:

– HKCR\N.Cs4\Clsid
   • "(Default)"="{E14DCE67-8FB7-4721-8149-179BAA4D792C}"

– HKCR\N.Cs4
   • "(Default)"="N.Cs4"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\VERSION
   • "(Default)"="3.0"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\TypeLib]
   • "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32
   • "ThreadingModel"="Apartment"
   • "(Default)"="%SYSDIR%\wsock32.sys"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\ProgID
   • "(Default)"="N.Cs4"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
   • "(Default)"="N.Cs4"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib
   • "Version"="3.0"
   • "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
   ProxyStubClsid32
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
   ProxyStubClsid
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
   • "(Default)"="Cs4"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR
   • "(Default)"="%SYSDIR%"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32
   • "(Default)"="%SYSDIR%\wsock32.sys"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\FLAGS
   • "(Default)"="0"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0
   • "(Default)"="N"

– HKCU\Software\VB and VBA Program Settings\set\set
   • "set"="tz2L7ah3Pa.ini"

– HKLM\SYSTEM\ControlSet003\Services\Messenger
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet003\Services\ATS
   • "Start"=dword:00000000

– HKCU\Software\Policies\Microsoft\Windows\System
   • "DisableCMD"=dword:00000001

– HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
   • "Disabled"=dword:00000000

– HKCR\..DlI
   • "(Default)"="exefile"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%SYSDIR%\DirectX.exe"

– HKLM\SYSTEM\ControlSet001\Services\SENS
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\SENS
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet003\Services\SENS
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\Nla
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\Nla
   Новое значение:
   • "Start"=dword:0000000

– HKLM\SYSTEM\ControlSet003\Services\Nla
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\Messenger
   Новое значение:
   • "Start"=dword:0000000

– HKLM\SYSTEM\ControlSet002\Services\Messenger
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\ATS
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\ATS
   Новое значение:
   • "Start"=dword:00000000

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   Прежнее значение:
   • "load"=""
   Новое значение:
   • "load"="%SYSDIR%\DirectX.exe"

 Сетевое инфицирование Эксплойт:
Используются следующие бреши в безопасности:
– MS04-007 (Уязвимость ASN.1)
– MS05-039 (уязвимость в Plug and Play)

 Backdoor Устанавливает соединение с сервером
Следующий:
   • doener.no-ip.**********:314

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Передает информацию о:
    • Сохранение содержимого экрана
    • Сохранение снимков веб-камеры
    • Текущий пользователь
    • Информация о запущенных процессах
    • Информация об операционной системе Windows


Возможности удаленного контроля:
    • Смена директории
    • Копировать файл
    • Удалить файл
    • Перечень файлов директории
    • Отображение сообщения
    • Загрузить файл
    • Запустить файл
    • Остановить процесс
    • Переместить файл
    • Перезапустить систему
    • Отправить электронную почту
    • Завершить работу системы
    • Загрузить файл

 Кража Попытка кражи следующей информации:

– Протоколируется:
    • Нажатие клавиш
    • Информация об окне

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\wsock32.sys


– Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • %PROGRAM FILES%\Internet Explorer\IEXPLORER.exe

   При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.

 Разное Антиотладка
При успешном выполнении перед закрытием отображается следующее:


 Технология Rootkit Скрывает следующее:
– Собственные ключи реестра

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Bogdan Iliuta в(о) понедельник, 31 июля 2006 г.
Описание обновил Bogdan Iliuta в(о) пятница, 4 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.