Analisado por: rolandde   

 

Backdoor:Win32/Cycbot.G (Microsoft); Trojan.Win32.Jorik.Gbot.qxy (Kaspersky)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Backdoor

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

  Detalhes técnicos

Tipo de compactação: 287,232 bytes
Tipo de arquivo: EXE
Data de recebimento das amostras iniciais: 25 novembro 2011

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Program Files%\LP\{random}\{random}.exe

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Schleust folgende nicht bösartige Datei ein:

  • %User Profile%\Application Data\{random}\{random}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %User Profile%\Application Data\{random}
  • %Program Files%\{random}
  • %Program Files%\LP
  • %Program Files%\LP\{random}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\0open

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyServer = "http={BLOCKED}7.{BLOCKED}.0.1:59798"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random}.exe = "%Program Files%\LP\{random}\{random}.exe"

Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyEnable = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\0001\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_CURRENT_CONFIG\Software\Microsoft\
windows\CurrentVersion\Internet Settings
ProxyEnable = "1"

(Note: The default value data of the said registry entry is 0.)

Löscht die folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc

Backdoor-Routine

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

  • {BLOCKED}accesss.com
  • {BLOCKED}amaforyou.com
  • {BLOCKED}ipitour.com
  • {BLOCKED}rdelis.com
  • {BLOCKED}4image.com
  • {BLOCKED}t4you.com
  • {BLOCKED}ontainer.com
  • {BLOCKED}eurosys.com
  • {BLOCKED}bletpcforme.com
  • {BLOCKED}ldonlines.com
  • {BLOCKED}tfrommains.com
  • {BLOCKED}reportsystem.com