BDS/Frauder.bu - Backdoor Server

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	BDS/Frauder.bu
Data em que surgiu:	29/08/2008
Tipo:	Servidor Backdoor
Incluído na lista "In The Wild"	Sim
Nível de danos:	De baixo a médio
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Não
Tamanho:	~203.776 Bytes
Versão IVDF:	7.00.06.89

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Symantec: Trojan.Blusod
   • Mcafee: Downloader-ASH.gen.b trojan
   • Kaspersky: Backdoor.Win32.Frauder.bu
   • F-Secure: Backdoor.Win32.Frauder.bu
   • Sophos: Mal/EncPk-EU
   • Panda: Adware/RogueAntimalware2008
   • Grisoft: Downloader.FraudLoad.N
   • Eset: a variant of Win32/Kryptik.E trojan
   • Bitdefender: Trojan.FakeAlert.ACR

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

Exibe o conteúdo de um ficheiro pictórico criado:

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\lphc1boj0e39c.exe

São criados os seguintes ficheiros:

– %TEMPDIR%\.tt1.tmp.vbs Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: VBS/Agent.1002

– %SYSDIR%\blphc1boj0e39c.scr Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: JOKE/BlueScreen.B

– %SYSDIR%\phc1boj0e39c.bmp Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Fakealert.AAF

Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
• http://stat.antivirusxp-2008.net/**********/common/16.gif
Encontra-se no disco rígido: C:\Documents and Settings\makrorechner\Local Settings\Temp\.tt4.tmp Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Contém, também, código malicioso.

Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "lphc1boj0e39c"="%SYSDIR%\lphc1boj0e39c.exe"

São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "NoDispBackgroundPage"=dword:00000001
   • "NoDispScrSavPage"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Software Notifier]
   • "InstallID"="858948ee-a000-4255-86f8-9e3baeb448b6"

Altera as seguintes chaves de registo do Windows:

– [HKCU\Control Panel\Colors]
   Valor recente:
   • "Background"="0 0 255"

– [HKCU\Control Panel\Desktop]
   Valor recente:
   • "WallpaperStyle"="0"
     "TileWallpaper"="0"
     "Wallpaper"="%SYSDIR%\phc1boj0e39c.bmp"
     "OriginalWallpaper"="%SYSDIR%\phc1boj0e39c.bmp"
     "ConvertedWallpaper"="%SYSDIR%\phc1boj0e39c.bmp"
     "SCRNSAVE.EXE"="%SYSDIR%\blphc1boj0e39c.scr"
     "ScreenSaveActive"="1"
     "ScreenSaveTimeOut"="600"

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Andreas Feuerstein em Fri, 05 Sep 2008 10:42 (GMT+1)
Descrição adicionada por Andreas Feuerstein em Fri, 05 Sep 2008 11:52 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back