BDS/VB.agz - Backdoor Server

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	BDS/VB.agz
Обнаружен:	24/12/2005
Вид:	Backdoor сервер
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	30.720 байт.
Контрольная сумма MD5:	65a87b2a54e20C6a2f2a097f0A45a39c
Версия VDF:	6.33.00.63

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Mcafee: Keylog-Sters
   • Kaspersky: Backdoor.Win32.VB.agz
   • F-Secure: W32/Backdoor.HPK
   • VirusBuster: trojan Backdoor.VB.EAX

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносные файлы
   • Создает файл
   • Изменение реестра

Файлы Выполненная копия программы удаляется.

Удаляется следующий файл:
   • %cookies%\*.txt

Создается файл:

– %Рабочая папка вредоносной программы%\%выполненный файл%.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

Попытка загрузки следующих файлов:

– Следующий URL:
   • %переданный параметр%/%переданный параметр%.dll
Сохраняется локально в: %WINDIR%\system32%переданный параметр%.dll Данный файл запускается на выполнение после его полной загрузки.

– Следующий URL:
   • %переданный параметр%/smss.exe
Сохраняется локально в: %WINDIR%\smss.exe Данный файл запускается на выполнение после его полной загрузки.

Реестр Добавляются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control\InitRegKey]
   • "initSmss"="0"
   • "initInstalled"="%random date%"
   • "initCount"="0"
   • "initNotAlive"="0"
   • "initID"="%Имя компьютера%-%множестов случайных чисел от 0 до 9%"
   • "initRegion"="other"
   • "initIP"="no_ip"
   • "initURLHTTP"="%переданный параметр%/"
   • "initWWW4FTPupdate"="%переданный параметр%?other"
   • "initWWW4FTPbackup"="%переданный параметр%?other"
   • "initWWW4FileRedir"="%переданный параметр%"
   • "initMajorVersion"="%переданный параметр%"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{1E6CE4CD-161B-4847-B8BF-E2EF72299D69}]
   • "@"=" "

Backdoor Устанавливает соединение с сервером
Следующий:
   • %переданный параметр%

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Передает информацию о:
    • Имя компьютера
    • Текущий пользователь
    • IP адрес
    • Текущий malware статус.

Возможности удаленного контроля:
    • Загрузить файл
    • Посещение веб-страницы

Данные файла Язык программирования:
Программа была написана на Visual Basic.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Краткое описание см. здесь.

Описание добавлено: Daniel Constantin Tue, 10 Jan 2006 10:15 (GMT+1)
Описание обновлено: Daniel Constantin Tue, 10 Jan 2006 15:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back