BDS/Ciadoor.BO - Backdoor Server

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	BDS/Ciadoor.BO
Обнаружен:	30/07/2006
Вид:	Backdoor сервер
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	От среднего до высокого
Файл статистики:	Да
Размер файла:	1.218.748 байт.
Контрольная сумма MD5:	655e5c9ea699d5ead17ad63529e09fe7
Версия VDF:	6.35.1.21
Версия IVDF:	6.35.1.21

Общее Псевдонимы (аliases):
   • Kaspersky: Backdoor.Win32.Ciadoor.bo
   • Bitdefender: Backdoor.Ciadoor.FA

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Последствия:
   • Отключение приложений безопасности
   • Создает файлы
   • Создает потенциально опасный файл
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

После запуска выдается следующая информация:

Файлы Создаются собственные копии:
   • %SYSDIR%\tz2L7ah3Pa.ini
   • %SYSDIR%\Directx.exe

Выполненная копия программы удаляется.

Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %SYSDIR%\del32.bat

– %SYSDIR%\drivers\oreans32.sys
– %SYSDIR%\wsock32.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Ciadoor.13.B

– %SYSDIR%\ckl009.dat Файл содержит строки введенных с клавиатуры символов

Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Generic Host Process"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run
   • "Generic Host Process"="%SYSDIR%\directx.exe"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"
   •

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "shell"="Explorer.exe %SYSDIR%\DirectX.exe"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
   • Generic Host Process"="%SYSDIR%\DirectX.exe"

Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices
   • "Generic Host Process"="%SYSDIR%\DirectX.exe"

Удаляется значение следующего ключа реестра:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}

С добавлением следующего ключа регистрируется BHO (browser helper object):

– HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}

Добавляются следующие ключи реестра:

– HKCR\N.Cs4\Clsid
   • "(Default)"="{E14DCE67-8FB7-4721-8149-179BAA4D792C}"

– HKCR\N.Cs4
   • "(Default)"="N.Cs4"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\VERSION
   • "(Default)"="3.0"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\TypeLib]
   • "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32
   • "ThreadingModel"="Apartment"
   • "(Default)"="%SYSDIR%\wsock32.sys"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\ProgID
   • "(Default)"="N.Cs4"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
   • "(Default)"="N.Cs4"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib
   • "Version"="3.0"
   • "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
   ProxyStubClsid32
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
   ProxyStubClsid
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
   • "(Default)"="Cs4"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR
   • "(Default)"="%WINDIR%\System32"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32
   • "(Default)"="%SYSDIR%\wsock32.sys"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\FLAGS
   • "(Default)"="0"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0
   • "(Default)"="N"

– HKCU\Software\VB and VBA Program Settings\set\set
   • "set"="tz2L7ah3Pa.ini"

– HKLM\SYSTEM\ControlSet003\Services\Messenger
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet003\Services\ATS
   • "Start"=dword:00000000

– HKCU\Software\Policies\Microsoft\Windows\System
   • "DisableCMD"=dword:00000001

– HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
   • "Disabled"=dword:00000000

– HKCR\..DlI
   • "(Default)"="exefile"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%SYSDIR%\DirectX.exe"

– HKLM\SYSTEM\ControlSet001\Services\SENS
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\SENS
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet003\Services\SENS
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\Nla
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\Nla
   Новое значение:
   • "Start"=dword:0000000

– HKLM\SYSTEM\ControlSet003\Services\Nla
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\Messenger
   Новое значение:
   • "Start"=dword:0000000

– HKLM\SYSTEM\ControlSet002\Services\Messenger
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\ATS
   Новое значение:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\ATS
   Новое значение:
   • "Start"=dword:00000000

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   Прежнее значение:
   • "load"=""
   Новое значение:
   • "load"="%SYSDIR%\DirectX.exe"

Сетевое инфицирование Эксплойт:
Используются следующие бреши в безопасности:
– MS04-007 (Уязвимость ASN.1)
– MS05-039 (уязвимость в Plug and Play)

Backdoor Устанавливает соединение с сервером
Следующий:
   • doener.no-ip.**********:314

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Передает информацию о:
    • Сохранение содержимого экрана
    • Сохранение снимков веб-камеры
    • Текущий пользователь
    • Информация о запущенных процессах
    • Информация об операционной системе Windows

Возможности удаленного контроля:
    • Смена директории
    • Копировать файл
    • Удалить файл
    • Перечень файлов директории
    • Отображение сообщения
    • Загрузить файл
    • Запустить файл
    • Остановить процесс
    • Переместить файл
    • Перезапустить систему
    • Отправить электронную почту
    • Завершить работу системы
    • Загрузить файл

Кража Попытка кражи следующей информации:

– Протоколируется:
• Нажатие клавиш
• Информация об окне

Инфицирование – Следующий файл вставляется в процесс: %SYSDIR%\wsock32.sys

– Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • %PROGRAM FILES%\Internet Explorer\IEXPLORER.exe

   При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.

Разное Антиотладка
При успешном выполнении перед закрытием отображается следующее:

Технология Rootkit Скрывает следующее:
– Собственные ключи реестра

Данные файла Язык программирования:
Программа была написана на Visual Basic.

Краткое описание см. здесь.

Описание добавлено: Bogdan Iliuta Mon, 31 Jul 2006 15:41 (GMT+1)
Описание обновлено: Bogdan Iliuta Fri, 04 Aug 2006 15:22 (GMT+1)

» О вредоносном ПО
» О фишинге
» В список опасных вирусов

« назад