Имя:BDS/VB.awr.35
Обнаружен:19/03/2007
Вид:Backdoor сервер
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:420.299 байт.
Контрольная сумма MD5:ecf789e622ab53b9761595f51e63423a
Версия VDF:6.38.00.74
Версия IVDF:6.38.00.76 - понедельник, 19 марта 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдоним (alias):
   •  Kaspersky: Backdoor.Win32.VB.awr
   •  F-Secure: Backdoor.Win32.VB.awr


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Блокирует доступ к веб-страницам IT-security компаний
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\scvhost.exe



Создаются следующие файлы:

– Незараженный файл:
   • %WINDIR%\MSWINSCK.OCX

%SYSDIR%\offlog.txt Файл содержит строки введенных с клавиатуры символов

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RUNSERVICES]
   • "Windows Update"="%WINDIR%\scvhost.exe"
   • "msconfig"="%WINDIR%\scvhost.exe"
   • "icq lite"="%WINDIR%\scvhost.exe"
   • "Update Checker"="%WINDIR%\scvhost.exe"
   • "AntiVir"="%WINDIR%\scvhost.exe"
   • @="%WINDIR%\scvhost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update"="%WINDIR%\scvhost.exe"
   • "msconfig"="%WINDIR%\scvhost.exe"
   • "icq lite"="%WINDIR%\scvhost.exe"
   • "Update Checker"="%WINDIR%\scvhost.exe"
   • "AntiVir"="%WINDIR%\scvhost.exe"
   • @="%WINDIR%\scvhost.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%WINDIR%\scvhost.exe"

 Хосты Хост файл изменяется следующим образом:

– В этом случае удаляются существующие строки.

– Успешно блокирован доступ к следующим доменам:
   • dl1.avgate.net
   • dl2.avgate.net
   • dl3.avgate.net
   • dl4.avgate.net
   • dl5.avgate.net
   • dl6.avgate.net
   • dl7.avgate.net
   • dl8.avgate.net
   • dl9.avgate.net


 Backdoor Устанавливает соединение с сервером
Следующий:
   • arcrol3**********:1338

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Gabriel Mustata в(о) пятница, 16 марта 2007 г.
Описание обновил Andrei Gherman в(о) понедельник, 26 марта 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.