Имя:BDS/Mirc-based.K.5
Обнаружен:23/12/2008
Вид:Backdoor сервер
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От среднего до высокого
Потенциал повреждений:От среднего до высокого
Файл статистики:Да
Размер файла:782.336 байт.
Контрольная сумма MD5:375306f0f224df1542b0343d5756b8a5
Версия IVDF:7.01.01.27 - вторник, 23 декабря 2008 г.

 Общее Метод распространения:
   • Infects files (ru)


Псевдонимы (аliases):
   •  Mcafee: W32/Virut.gen
   •  Sophos: W32/Vetor-A
   •  Panda: W32/Virutas.gen
   •  Eset: Win32/Virut.Q
   •  Bitdefender: IRC-Worm.Generic.4269


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Infects files (ru)
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются следующие файлы:

%PROGRAM FILES%\mIRC\IRC Bot\control.ini
%PROGRAM FILES%\mIRC\IRC Bot\remote.ini
%PROGRAM FILES%\mIRC\IRC Bot\svchost.exe
%PROGRAM FILES%\mIRC\IRC Bot\Anjing_Malingsia.sys
%PROGRAM FILES%\mIRC\IRC Bot\Stupid.sys
%PROGRAM FILES%\Microsoft Office
%PROGRAM FILES%\mIRC\IRC Bot\fuck.sys
%PROGRAM FILES%\mIRC\IRC Bot\kontol.mrc
%PROGRAM FILES%\mIRC\IRC Bot\perampok_budaya.sys
%PROGRAM FILES%\mIRC\IRC Bot\Nama_Anjing.sys
%PROGRAM FILES%\mIRC\IRC Bot\Channel_Babi.sys
%PROGRAM FILES%\mIRC\IRC Bot\Nama_Babi.sys
%PROGRAM FILES%\mIRC\IRC Bot\Asshole.sys

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe, %PROGRAM FILES%\Microsoft Office\WINWORD.EXE"



Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Acha.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wscript.exe]
   • "Debugger"="rundll32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\AmyMastura.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Security Center]
   • "AntiVirusDisableNotify"=dword:0x00000001
   • "AntiVirusOverride"=dword:0x00000001
   • "FirewallDisableNotify"=dword:0x00000001
   • "FirewallOverride"=dword:0x00000001
   • "FirstRunDisabled"=dword:0x00000001
   • "UpdatesDisableNotify"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\registry.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\csrsz.exe]
   • "Debugger"="cmd.exe /c del"



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Новое значение:
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Classes\exefile]
   Новое значение:
   • "NeverShowExt"=""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Новое значение:
   • "CheckedValue"=dword:0x00000000
   • "DefaultValue"=dword:0x00000000
   • "UncheckedValue"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Новое значение:
   • "Start"=dword:0x00000004
   • "Type"=dword:0x00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Новое значение:
   • "Start"=dword:0x00000004
   • "Type"=dword:0x00000004

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Новое значение:
   • "load"=""

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Новое значение:
   • "Start"=dword:0x00000004
   • "Type"=dword:0x00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\WinDefend]
   Новое значение:
   • "Start"=dword:0x00000004
   • "Type"=dword:0x00000004

 Инфицирование файлов Infector type: (ru)

Appender (ru)
– Infector modifies last section (ru)


Self Modification (ru)

Infector polymorphic (ru)


Метод:

Этот вирус занят активным поиском файлов.

Данный резидентный вирус остаются активным в памяти.


Infection Length (ru)

- 11.264 байт.


The following file is infected (S) (ru)

By file type (ru)
   • .exe

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: proxim.irc**********.pl
Порт: 80
Канал: &virtu
Имя: %случайная буквенная комбинация%

Сервер: srv201.cy**********.name
Порт: 80
Канал: &virtu
Имя: %случайная буквенная комбинация%

Сервер: 60.190.2**********.1**********
Порт: 80
Канал: &virtu
Имя: %случайная буквенная комбинация%

 Инфицирование – Вставляется в процесс в качестве программного потока.

    Имя процесса:
   • winlogon.exe



– Backdoor-процедура вставляется в процесс.

    Имя процесса:
   • %все активные процессы%


 Технология Rootkit  Внедряется в следующие API-функции:
   • NtCreateFile
   • NtOpenFile
   • NtCreateProcess
   • NtCreateProcessEx

Описание добавил Petre Galan в(о) понедельник, 22 марта 2010 г.
Описание обновил Petre Galan в(о) среда, 24 марта 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.