BDS/Nanspy.C - Backdoor Server

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	BDS/Nanspy.C
Обнаружен:	07/10/2005
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	216.128 байт.
Контрольная сумма MD5:	9C3D95E9D5C6DB594174C48AF2E3CFC0
Версия VDF:	6.32.0.67

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдоним (alias):
   • Kaspersky: Backdoor.Win32.Nanspy.c

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Блокирует доступ к веб-страницам IT-security компаний
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
   • %SYSDIR%\spools.exe

Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %SYSDIR%\xffq.ssq
   • %SYSDIR%\ddq32.ssq
   • %SYSDIR%\ch1.ssq
   • %SYSDIR%\ch2.ssq
   • %SYSDIR%\ch3.ssq
   • %SYSDIR%\ch4.ssq
   • %SYSDIR%\xiecache.ssq

– %SYSDIR%\xbccd.log Содержит однозначный идентификационный номер инфицированного компьютера.
– %SYSDIR%\xffq.ssq Файл содержит строки введенных с клавиатуры символов
– %SYSDIR%\ddq32.ssq Файл содержит строки введенных с клавиатуры символов
– %SYSDIR%\ch1.ssq Файл содержит строки введенных с клавиатуры символов
– %SYSDIR%\ch2.ssq Файл содержит строки введенных с клавиатуры символов
– %SYSDIR%\ch3.ssq Файл содержит строки введенных с клавиатуры символов
– %SYSDIR%\ch4.ssq Файл содержит строки введенных с клавиатуры символов
– %SYSDIR%\xiecache.ssq Файл содержит строки введенных с клавиатуры символов

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Spools Service Controller"="%SYSDIR%\spools.exe"

Удаляется значение следующего ключа реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• spools.exe

Хосты Хост файл изменяется следующим образом:

– В этом случае существующие строки остаются.

– При попытке получить доступ к следующим доменам запрос перенаправляется на другой адрес:
   • d-ru-1f.kaspersky-labs.com
   • d-ru-1h.kaspersky-labs.com
   • d-ru-2f.kaspersky-labs.com
   • d-ru-2h.kaspersky-labs.com
   • d-eu-2f.kaspersky-labs.com
   • d-eu-2h.kaspersky-labs.com
   • d-eu-1f.kaspersky-labs.com
   • d-eu-1h.kaspersky-labs.com
   • d-us-1f.kaspersky-labs.com
   • d-us-1h.kaspersky-labs.com
   • downloads1.kaspersky.ru
   • downloads2.kaspersky.ru
   • downloads3.kaspersky.ru
   • downloads4.kaspersky.ru
   • downloads5.kaspersky.ru
   • www.kaspersky.ru
   • kaspersky.ru
   • kaspersky-labs.com
   • www.kaspersky-labs.com

Модифицированный хост-файл выглядит следующим образом:

Backdoor Открываются следующие порты:

– %SYSDIR%\spools.exe к произвольному TCP порту для обеспечения HTTP сервера.
– %SYSDIR%\spools.exe чтобы обеспечить Socks4 прокси-сервера.

Устанавливает соединение с сервером
Один из следующих:
   • http://66.235.160.**********/slogdrx.php
   • http://66.235.160.**********/slogch1.php
   • http://66.235.160.**********/slogch2.php
   • http://66.235.160.**********/slogch3.php
   • http://66.235.160.**********/slogch4.php
   • http://66.235.160.**********/slogcx.php
   • http://66.235.160.**********/logwmgx.php

Следующий:
   • http://66.235.160.**********/wad/init2.txt

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит из-за использования методов HTTP GET и POST с применением PHP скрипта.

Передает информацию о:
    • Имя компьютера
    • Созданный лог-файл
    • Текущий пользователь
    • IP адрес
    • Информация о запущенных процессах
    • Имя пользователя
    • Информация об операционной системе Windows

Возможности удаленного контроля:
    • Удалить файл
    • Загрузить файл
    • Запустить файл
    • Остановить процесс
    • Произвести DDoS атаку
    • Перезапустить систему
    • Остановить процесс

Кража Попытка кражи следующей информации:

– После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • www.e-gold.com; www.wamu.com; www.bankone.com; www.bankofamerica.com;
      tcfbank.com; adelaidebank.com.au; anz.com.au; cu.net.au; boq.com.au;
      bankwest.com.au; bendigobank.com.au; commbank.com.au; hsbc.com.au;
      ibisworld.com.au; macquarie.com.au; national.com.au; suncorp.com.au;
      stgeorge.com.au; online.westpac.com.au; nationalbank.co.nz;
      rbnz.govt.nz; bnz.co.nz; asbbank.co.nz; westpac.co.nz; kiwibank.co.nz;
      macquarie.com; anz.com; nabgroup.com; bankombudsman.org.nz

– Протоколируется:
    • Информация об окне
    • Регистрационная информация

Данные файла Язык программирования:
Программа была написана на Delphi.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Краткое описание см. здесь.

Описание добавлено: Andrei Gherman Mon, 10 Oct 2005 09:47 (GMT+1)
Описание обновлено: Andrei Gherman Thu, 13 Oct 2005 15:10 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back