Analisado por: kathleenno   

 

Backdoor.Tidserv (Symantec); Trojan:Win32/Meredrop (Microsoft); Backdoor.Win32.TDSS.ewa (Kaspersky)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Backdoor

  • Destrutivo:
    Sim

  • Criptografado:
    Não

  • In the Wild:
    Sim

  Visão geral

Löscht Registrierungseinträge, so dass einige Anwendungen und Programme nicht ordnungsgemäß ausgeführt werden.

Löscht sich nach der Ausführung selbst.

  Detalhes técnicos

Tipo de compactação: 174,080 bytes
Residente na memória: Sim
Data de recebimento das amostras iniciais: 06 abril 2011
Carga útil: Modifies system registry, Compromises system security

Installation

Schleust die folgenden Dateien ein:

  • %System%\spool\prtprocs\w32x86\{random filename}.dll
  • %Windows%\Temp\{random filename}.sys

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust Eigenkopien in Ordner ein, deren Name diese Zeichenfolgen enthält:

  • %User Temp%\{random filename}

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

Kathleen Mae Notario: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
NameServer = 93.188.165.175,93.188.160.235

(Note: The default value data of the said registry entry is blank.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\
Interfaces\{network ID}}
NameServer = 93.188.165.175,93.188.160.235

(Note: The default value data of the said registry entry is blank.)

Löscht die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
DhcpNameServer = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
DhcpDomain = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\
Interfaces\{network ID}
DhcpNameServer = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\
Interfaces\{network ID}
DhcpDefaultGateway = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\
Interfaces\{network ID}
DhcpDomain = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\
Interfaces\{network ID}
DhcpSubnetMaskOpt = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{network ID}\Parameters\
Tcpip
DhcpDefaultGateway = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{network ID}\Parameters\
Tcpip
DhcpSubnetMaskOpt = {user-defined}

Andere Details

Löscht sich nach der Ausführung selbst.