Полное описание

Имя:	BDS/Cycbot.B.734
Обнаружен:	26/11/2010
Вид:	Backdoor сервер
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Размер файла:	186.880 байт.
Контрольная сумма MD5:	2156363DB5EDDFB28F64F0A0A3B37568
Версия VDF:	7.10.06.151
Версия IVDF:	7.10.14.112 - пятница, 26 ноября 2010 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • TrendMicro: BKDR_CYCBOT.SMIB
   • Bitdefender: Backdoor.Cycbot.J
   • Microsoft: Backdoor:Win32/Cycbot.B

Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7

Последствия:
   • Позволяет несанкционированно подключиться к компьютеру
   • Создает файлы
   • Изменение реестра
   • Похищает информацию

Файлы Создается собственная копия:
• %APPDATA%\dwm.exe

Создается файл:

– %APPDATA%\%шестнадцатиричное значение%.%шестнадцатиричное значение% Содержит используемые вредоносным ПО параметры

Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe,%APPDATA%\dwm.exe"

Изменяется следующий ключ реестра:

Снижает настройки безопасности Internet Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Новое значение:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:%Число%"
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

Завершение процесса Завершение процессов со следующими последовательностями в именах:
   • AVG
   • Avast
   • Avira
   • Dr.Web
   • Kaspersky
   • McAfee
   • ESET NOD32
   • Norton
   • BitDefender

Backdoor Открываются следующие порты:

– %выполненный файл% к произвольному TCP порту чтобы обеспечить наличие прокси-сервера.
– %выполненный файл% к произвольному TCP порту для обеспечения backdoor функции.

Устанавливает соединение с сервером
Все последующие:
   • http://**********zyleafdesign.com/blog/images/share/facebook.png
   • http://**********zyleafdesign.com/blog/images/share/stumble.png
   • http://**********ssecureonline.com/blog/images/3521.jpg
   • http://**********ssecureonline.com/blog/images/3522.jpg
   • http://**********ssecureonline.com/blog/images/3523.jpg
   • http://**********usho.com/wp-content/uploads/2010/09/web-20-what-is-300x251.jpg
   • http://**********ewhoisdb.com/blog/images/3521.jpg
   • http://**********ewhoisdb.com/blog/images/3522.jpg
   • http://**********ewhoisdb.com/blog/images/3523.jpg
   • http://**********vatar.com/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be1
   • http://**********vatar.com/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be2
   • http://**********enherbalteaonline.com/images/greenherbalteagirlholdingcup250.gif
   • http://**********enherbalteaonline.com/images/greenherbalteagirlholdingcup350.gif
   • http://**********lthylifenow.com/templates/7348/images/header_logo.jpg
   • http://**********lthylifenow.com/templates/7349/images/header_logo.jpg
   • http://**********midioz.com/blog/images/3521.jpg
   • http://**********midioz.com/blog/images/3522.jpg
   • http://**********midioz.com/blog/images/3523.jpg
   • http://**********landandbarrett.com/images/footer/account.gif
   • http://**********landandbarrett.com/images/footer/account.jpg
   • http://**********anesegreenteaonline.com/assets/images/greentea-cha-1.gif
   • http://**********anesegreenteaonline.com/assets/images/greentea-cha-2.gif
   • http://**********derjoys.com/blog/images/3521.jpg
   • http://**********derjoys.com/blog/images/3522.jpg
   • http://**********derjoys.com/blog/images/3523.jpg
   • http://**********oroskopia.com/blog/images/3521.jpg
   • http://**********oroskopia.com/blog/images/3522.jpg
   • http://**********oroskopia.com/blog/images/3523.jpg
   • http://**********tpropaganda.net/blog/pics/3321.jpg
   • http://**********tpropaganda.net/blog/pics/3322.jpg
   • http://**********ldbaccess.com/blog/images/3521.jpg
   • http://**********ldbaccess.com/blog/images/3522.jpg
   • http://**********ldbaccess.com/blog/images/3523.jpg
   • http://**********iadryvers.com/blog/images/3521.jpg
   • http://**********iadryvers.com/blog/images/3522.jpg
   • http://**********iadryvers.com/blog/images/3523.jpg
   • http://**********kiwals.com/blog/images/3521.jpg
   • http://**********kiwals.com/blog/images/3522.jpg
   • http://**********kiwals.com/blog/images/3523.jpg
   • http://**********ochrom.at/polytheism/pictures/TanzenderShiva.jpg
   • http://**********ionsautoelectric.com/images/50-217-1_F_1_.jpg
   • http://**********ionsautoelectric.com/images/50-217-1_F_2_.jpg
   • http://**********inebizdirectory.com/images/PowerHideBanner.gif
   • http://**********inebizdirectory.com/images/PowerShowBanner.gif
   • http://**********inedatingsecretfriends.com/images/im133.jpg
   • http://**********inedatingsecretfriends.com/images/im134.jpg
   • http://**********ineinstitute.com/g7/images/logo.jpg
   • http://**********ineinstitute.com/g7/images/logo2.jpg
   • http://**********ineinstitute.com/g7/images/logo3.jpg
   • http://**********ineinstitute.com/g7/images/logo4.jpg
   • http://**********helpsme.com/blog/images/3521.jpg
   • http://**********helpsme.com/blog/images/3522.jpg
   • http://**********helpsme.com/blog/images/3523.jpg
   • http://**********repolists.com/blog/images/3521.jpg
   • http://**********repolists.com/blog/images/3522.jpg
   • http://**********repolists.com/blog/images/3523.jpg
   • http://**********k.com/img/icons/facebook.png
   • http://**********k.com/img/icons/twitter.png
   • http://**********lsoftwaredevelopment.com/WindowsLiveWriter/web-2_0_thumb_1.gif
   • http://**********bukaclubonline.com/blog/images/3521.jpg
   • http://**********bukaclubonline.com/blog/images/3522.jpg
   • http://**********bukaclubonline.com/blog/images/3523.jpg
   • http://**********kersonline.com/blog/images/3521.jpg
   • http://**********kersonline.com/blog/images/3522.jpg
   • http://**********kersonline.com/blog/images/3523.jpg
   • http://**********programmingshool.com/blog/images/3521.jpg
   • http://**********programmingshool.com/blog/images/3522.jpg
   • http://**********programmingshool.com/blog/images/3523.jpg
   • http://**********rentclist.com/blog/images/3521.jpg
   • http://**********rentclist.com/blog/images/3522.jpg
   • http://**********rentclist.com/blog/images/3523.jpg

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Передает информацию о:
    • Созданный лог-файл
    • посещенные URL

Возможности удаленного контроля:
    • Посещение веб-страницы

Кража – Проверяется сетевой трафик. Поиск следующих последовательностей символов:
   • .2mdn.; .abmr.; .adtechus.; .aol.; .atdmt.; .atwola.;
      .autodatadirect.; .bing.net; .dartsearch.; .doubleclick.; .ggpht.;
      .google; .ivwbox.; .mapquestapi.; .microsoft.; .opera.; .tacoda.;
      .thawte.; .tlowdb.; .truveo.; .virtualearth.; .wsod.; .yimg.com;
      .ypcdn.; /complete/search; /gen_204; /images; /imglanding; ?query=;
      amazon.; aol/search; aolcdn.; aolsvc.; bing.com; bing.com/search;
      blogger; brightcove.com; doubleclick.; ebay.; err069; facebook.;
      flickr; google-analytics.; google.; googlesyndication.;
      googleusercontent.; gstatic.; http%3A##; imdb.; mapq.st; msn;
      scorecardresearch.com; search.aol.; search.yahoo.com/search;
      searcht2.aol.; start=; start=0; suche.aol.; twitter.; wikimedia.;
      wikipedia.; yahoo.; yahoo.com; youtube.; ytimg.

Инфицирование     Все следующие процессы:
   • wmiprvse.exe
   • svchost.exe

Разное Строка:
Здесь содержится следующая последовательность:
• IsDebuggerPresent

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Описание добавил Andrei Ilie в(о) понедельник, 8 августа 2011 г.
Описание обновил Andrei Ilie в(о) понедельник, 8 августа 2011 г.

Назад . . . .

Нужно починить ПК?

Рекомендуемые продукты

Больше продуктов

Наиболее популярные продукты

Все продукты

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты

Рекомендуемые продукты

Больше продуктов

Наиболее популярные продукты

Все продукты

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты