BKDR_SHOTODOR.A

Um einen Überblick über das Verhalten dieser Backdoor zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Fügt bestimmte Registrierungseinträge hinzu, um den Task-Manager zu deaktivieren. Dies verhindert, dass Benutzer den Malware-Prozess beenden, was normalerweise über den Task-Manager möglich ist.

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.

Ändert Zoneneinstellungen von Internet Explorer.

Zeichnet die Tastatureingaben eines Benutzers auf, um Daten zu entwenden.

Installation

Schleust folgende Dateien/Komponenten ein:

• %User Profile%\WXVIL\RXBWDEDJ.dat - deleted after execution; contains obfuscated AutoScript
• %User Profile%\WXVIL\762677.JUB - detected as BKDR_SHOTODOR.A
• %User Profile%\WXVIL\settings.ini - config file
• %User Profile%\WXVIL\481456.dat - encrypted file
• %User Profile%\WXVIL\328774.dat - encrypted file

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Schleust folgende nicht bösartige Datei ein:

• %User Profile%\WXVIL\GIPYL.exe - non malicious AutoIt file

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

• %User Profile%\WXVIL
• %Application Data%\dclogs

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• DC_MUTEX-B2FTUQZ

Bleibt speicherresident, indem Code in folgende Prozesse injiziert wird:

• RegSvcs.exe (v2.0.50727)
• RegSvcs.exe (v4.0.30319)
• Default Internet Browser (e.g. iexplore.exe, firefox.exe, chrome.exe)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
WXVIL = "%User Profile%\WXVIL\start.vbs"

Schleust die folgenden Dateien ein:

• %User Profile%\WXVIL\3562.vbs
• %User Profile%\WXVIL\start.cmd
• %User Profile%\WXVIL\start.vbs - runs the file "start.cmd"

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\DC3_FEXEC

Fügt die folgenden Registrierungseinträge hinzu, um den Task-Manager zu deaktivieren:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Capture video from webcam
• Change MSN Messenger & MSN contact list status
• Empty Recycle Bin
• List active windows
• Remote shell command
• Download and execute files
• Download updated copy of itself
• Upload files
• Log keystrokes
• Modify system's host file
• Record sounds
• Open and close CD-ROM drive door
• Steal passwords
• Get torrent files
• Refresh Wifi
• Uninstall programs
• Manipulate the following:
  • Browser
  • Clipboard
  • Desktop
  • Dialog Box
  • Files
  • Folders
  • Mouse clicks
  • Processes
  • Registries
  • Services
  • Shutdown button options
  • Start button
  • System clock
  • System tray
  • Taskbar

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Datendiebstahl

Folgende Daten werden gesammelt:

• Admin rights
• Computer/User name
• Language/Country
• Operating System information

Zeichnet die Tastatureingaben eines Benutzers auf, um Daten zu entwenden.

Entwendete Daten

Die entwendeten Informationen werden in der folgenden Datei gespeichert:

• %Application Data%\dclogs\{Current Date}-{Number}.dc

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)