Analisado por: Anthony Joe Melgarejo   

 

Backdoor.Destover (Symantec)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Backdoor

  • Destrutivo:
    Não

  • Criptografado:
    Não

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Fallen gelassen von anderer Malware

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.

  Detalhes técnicos

Tipo de compactação: 86,016 bytes
Tipo de arquivo: EXE
Residente na memória: Não
Data de recebimento das amostras iniciais: 03 dezembro 2014
Carga útil: Collects system information

Autostart-Technik

Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

  • %User Startup%\{malware file name}.exe

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

  • Move specified file to another directory
  • Enumerate files in specified directory
  • Enumerate fixed drives and retrieve free disk space
  • Download arbitrary files
  • Upload arbitrary files
  • Execute arbitrary files
  • Drop a dummy file
  • Check for a specified file's existence
  • Enumerate Processes and Modules
  • Terminate specified process
  • Gather system information
  • Reconfigure CnC connection
  • Retrieve current working directory and change to another

  Solução

Mecanismo de varredura mínima: 9.700
Primeiro arquivo padrão VSAPI: 11.316.04
Data do lançamento do primeiro padrão VSAPI: 03 dezembro 2014
VSAPI OPR Pattern Version: 11.317.00
VSAPI OPR Pattern veröffentlicht am: 04 dezembro 2014

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als BKDR_DESTOVER.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Participe da nossa pesquisa!