BKDR_CINDYC.D

Wird möglicherweise von anderer Malware eingeschleust.

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.

Übertragungsdetails

Wird möglicherweise von der folgenden Malware eingeschleust:

• TROJ_MDROP.TOL

Installation

Schleust die folgenden Dateien ein:

• %User Profile%\Local Settings\help.dll - also detected as BKDR_CINDYC.D
• %User Profile%\Local Settings\tmp.bak - also detected as BKDR_CINDYC.D
• %User Temp%\~ATEMP.CPL - also detected as BKDR_CINDYC.D
• %User Temp%\~ATEMP.CPL.bak - also detected as BKDR_CINDYC.D
• %User Temp%\help32.dll - also detected as BKDR_CINDYC.D

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• svchost.exe

Die DLL-Komponente wird in den oder die folgenden Prozesse injiziert:

• svchost.exe

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• IMSCMig

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer\run
IMSCMig = "Rundll32.EXE %User Profile%\Local Settings\help.dll,NotifyLogonUser"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\ts

HKEY_CURRENT_USER\Software\ts\
explorer

HKEY_CURRENT_USER\Software\ts\
explorer\run

HKEY_CURRENT_USER\Software\ts\
NonEnum

HKEY_CURRENT_USER\Software\ts\
Ratings

HKEY_CURRENT_USER\Software\ts\
system

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer\run

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software
{random number} = "F0F996E3"

HKEY_CURRENT_USER\Software
key = "1"

HKEY_CURRENT_USER\Software\ts\
explorer\run
IMSCMig = "Rundll32.EXE %User Profile%\Local Settings\help.dll,NotifyLogonUser"

HKEY_CURRENT_USER\Software\ts\
NonEnum
{0DF44EAA-FF21-4412-828E-260A8728E7F1} = "20"

HKEY_CURRENT_USER\Software\ts\
NonEnum
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = "40000021"

HKEY_CURRENT_USER\Software\ts\
NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = "1"

HKEY_CURRENT_USER\Software\ts\
system
dontdisplaylastusername = "0"

HKEY_CURRENT_USER\Software\ts\
system
legalnoticecaption = ""

HKEY_CURRENT_USER\Software\ts\
system
legalnoticetext = ""

HKEY_CURRENT_USER\Software\ts\
system
shutdownwithoutlogon = "1"

HKEY_CURRENT_USER\Software\ts\
system
undockwithoutlogon = "1"

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Capture screen, audio, and webcam
• Download files
• Get drive information
• Get system information
• List active ports
• Lock workstation
• Log keystrokes
• Log off user
• Monitor browsing habits
• Manage files and folders
• Manage open windows
• Manage passwords
• Manage registry, processes, services, devices, and installed applications
• Perform multiple simultaneous transfers
• Perform remote shell
• Relay server
• Restart/Reboot system
• Share servers
• Update, restart, terminates itself

Sendet die folgenden Informationen an ihren Befehls- und Steuerungsserver (C&C):

• Computer name
• Drive information
• Operating system information
• Processor speed
• RAM Information
• Saved email password
• Saved email address
• Service pack information
• System settings
• User name and cached password