BDS/Virkel.A - Backdoor Server

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	BDS/Virkel.A
Обнаружен:	28/10/2005
Вид:	Backdoor сервер
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	От низкого до среднего
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	104.960 байт.
Контрольная сумма MD5:	87768eb9f0beaaac91be85d82e010B95
Версия VDF:	6.32.00.117

Общее Метод распространения:
   • Messenger

Псевдонимы (аliases):
   • Symantec: W32.Chod.D
   • Kaspersky: Backdoor.Win32.Virkel.a
   • Bitdefender: Backdoor.Chodebot.A

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Блокирует доступ к веб-страницам IT-security компаний
   • Отключение приложений безопасности
   • Создает потенциально опасный файл
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
• %SYSDIR%\%случайная буквенная комбинация%\csrss.exe

Выполненная копия программы удаляется.

Создаются следующие файлы:

– %SYSDIR%\%случайная буквенная комбинация%\smss.exe После полного завершения процесса создания он запускается на выполнение. Файл служит меткой внутренней процедуры.
– %SYSDIR%\%случайная буквенная комбинация%\csrss.ini Содержит используемые вредоносным ПО параметры
– %SYSDIR%\netstat.com Файл служит меткой внутренней процедуры.

Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "csrss"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "csrss"=""

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%SYSDIR%\%случайная буквенная комбинация%\csrss.exe"
   • "run=%SYSDIR%\%случайная буквенная комбинация%\csrss.exe"

Удаляются все значения следующих ключей реестра и их подключей:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CleanUp]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCAgentExe]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCUpdateExe]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VirusScan Online]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VSOCheckTask]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCAgentExe]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCUpdateExe]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec NetDriver Monitor]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SmcService]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Outpost Firewall]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gcasServ]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pccguide.exe]

Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"="1"
   • "NoAdminPage"="1"

Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– AIM Messenger
– MSN Messenger

IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: bak.**********.net
Порт: 37737
Канал: #.upd
Имя: %случайная десятизначная комбинация букв%

Сервер: pjn.**********.net
Порт: 37737
Канал: #.upd
Имя: %случайная десятизначная комбинация букв%

– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Сохранение содержимого экрана
    • Скорость процессора
    • Текущий пользователь
    • Информация о драйвере
    • Свободное место на диске
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Информация о сети
    • ID платформы
    • Информация о запущенных процессах
    • Объем памяти
    • папка Windows
    • Информация об операционной системе Windows

– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • Начать DDoS ICMP атаку
    • Запускается DDoS TCP атака
    • Запускается DDoS UDP атака
    • разорвать соединение с IRC сервером
    • Загрузить файл
    • Редактировать реестр
    • Запустить файл
    • Войти в чат-комнату IRC
    • Остановить процесс
    • Покинуть чат-комнату IRC
    • Открытие удаленного интерфейса
    • Регистрация службы
    • Остановить процесс
    • Обновляется самостоятельно
    • Загрузить файл

Хосты Хост файл изменяется следующим образом:

– В этом случае существующие строки остаются.

– Успешно блокирован доступ к следующим доменам:
   • avp.com; www.avp.com; ca.com; dispatch.mcafee.com;
      download.mcafee.com; f-secure.com; fastclick.net; ftp.f-secure.com;
      ftp.sophos.com; liveupdate.symantec.com; customer.symantec.com;
      pccguide.exe rads.mcafee.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; nai.com; networkassociates.com; secure.nai.com;
      securityresponse.symantec.com; service1.symantec.com; sophos.com;
      support.microsoft.com; symantec.com; update.symantec.com;
      updates.symantec.com; us.mcafee.com; vil.nai.com; viruslist.com;
      www.viruslist.com; www.awaps.net; www.ca.com; www.f-secure.com;
      www.fastclick.net; www.mcafee.com; www.microsoft.com;
      www.my-etrust.com; www.nai.com; www.networkassociates.com;
      www.sophos.com; www.symantec.com; www3.ca.com; www.grisoft.com;
      grisoft.com; housecall.trendmicro.com; trendmicro.com;
      www.trendmicro.com; www.pandasoftware.com; pandasoftware.com;
      kaspersky.com; www.kaspersky.com; www.zonelabs.com; zonelabs.com;
      www.spywareinfo.com; spywareinfo.com; www.merijn.org; merijn.org

Модифицированный хост-файл выглядит следующим образом:

Завершение процесса Список завершаемых процессов:
   • mpftray.exe; microsoft antispyware*; hijackthis*; msconfig.exe;
      kav.exe; kavsvc.exe; mcvsshld.exe; mcagent.exe; mcvsrte.exe;
      mcshield.exe; mcvsftsn.exe; mcdash.exe; mcvsescn.exe; mcinfo.exe;
      mpfagent.exe; CIzh_DataArrival; mpfservice.exe; mskagent.exe;
      mcmnhdlr.exe; sndsrvc.exe; usrprmpt.exe; ccapp.exe; ccevtmgr.exe;
      spbbcsvc.exe; ccsetmgr.exe; symlcsvc.exe; npfmntor.exe; navapsvc.exe;
      issvc.exe; ccproxy.exe; tmpfw.exe; navapw32.exe; navw32.exe; smc.exe;
      outpost.exe; zlclient.exe; vsmon.exe; isafe.exe; pandaavengine.exe;
      regedit.exe; hijackthis.exe; gcasdtserv.exe; gcasserv.exe;
      pcctlcom.exe; tmntsrv.exe; tmproxy.exe; pcclient.exe; ethereal.exe;
      wpe pro.exe; nat.exe; winsp3.exe; zonealarm.exe; zlclient.exe;
      vsmon.exe; mcupdmgr.exe; pccguide.exe; scrpres.dll; mcvsscrp.dll;
      vsmonapi.dll

Завершение процессов со следующими последовательностями в именах:
   • KAVPersonal50; Zone Labs Client; Symantec Core LC; services;
      OutpostFirewall; Tmntsrv; tmproxy; TmPfw; PcCtlCom; CAISafe; vsmon;
      SBService; SAVScan; SPBBCSvc; ccSetMgr; ccPwdSvc; ccProxy; SNDSrvc;
      ccEvtMgr; navapsvc; ISSVC; GuardDogEXE; MpfService; MCVSRte; McShield;
      kavsvc

Список завершаемых служб:
   • Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
   • System Restore Service
   • Microsoft AntiSpyware Server Process
   • System Restore Service
   • Windows Security Center Service

Разное Интернет соединение:
Для проверки доступного Интернет соединения устанавливаются контакты со следующими DNS серверами:
   • dynupdate.**********.info
   • bak.**********.info

Мьютекс:
Создается мьютекс:
   • ChodeBot 8=D

Данные файла Язык программирования:
Программа была написана на Visual Basic.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• PE Compact 2.X

Краткое описание см. здесь.

Описание добавлено: Catalin Jora Fri, 28 Oct 2005 10:44 (GMT+1)
Описание обновлено: Catalin Jora Wed, 02 Nov 2005 11:45 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back