BKDR_BANDOK.FR

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

Ruft bestimmte Informationen vom betroffenen System ab.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %Application Data%\mbsa\mbsa.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• iexplore.exe

Erstellt die folgenden Ordner:

• %Application Data%\arl

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• BCcSSUSUSUSu
• CNcmcmcmcjSJs

Injiziert Code in die folgenden Prozesse:

• iexplore.exe (added process)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
mbsa = "%Application Data%\mbsa\mbsa.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
{Random Numbers} = "{Random String}"

HKEY_CURRENT_USER\Software\Vvvveeeee4
rno1 = "{Random Numbers}.exe"

HKEY_CURRENT_USER\Software\Vvvveeeee4
gn = "{Random Numbers}.exe"

HKEY_CURRENT_USER\Software\Vvvveeeee4
mep = "{Random Numbers}"

HKEY_CURRENT_USER\Software\Vvvveeeee4
api = "{Random Numbers}"

HKEY_CURRENT_USER\Software\Vvvveeeee4
pim = "{Random Numbers}"

HKEY_CURRENT_USER\Software\Vvvveeeee4
tvn = "{Random Numbers}.exe"

HKEY_CURRENT_USER\Software
DFkfkdk333 = "{Random Numbers}"

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• AddAutoFTPToDB
• CaptureScreen
• ChromeInject
• ClearCred
• CompressArchive
• CopyMTP
• DeleteAutoFTPFromDB
• DeleteFileFromDevice
• DisableChrome
• DisableMouseCapture
• EnableAndLoadCapList
• GenerateReports
• GetAutoFTP
• GetCamlist
• GetFileMONLIST
• GetSound
• GetUSBMONLIST
• GetWifi
• GrabFileFromDevice
• PutFileOnDevice
• RarFolder
• SearchMain
• SendCam
• SendFileMonLog
• SendMTPList
• SendMTPList2
• SendStartup
• SendUSBList
• SendinfoList
• SignoutSkype
• SplitMyFile
• StartFileMonitor
• StartShell
• StealUSB
• StopCam
• StopFileMonitor
• StopSearch
• StopUSBMonitor
• Uninstall
• getkey

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

• {BLOCKED}ir.net
• http://www.{BLOCKED}blisherslb.com/CU/
• https://www.{BLOCKED}blisherslb.com/CU/

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %Application Data%\mbsa\cpm.dll
• %Application Data%\mbsa\pmd.dll
• %Application Data%\mbsa\2294.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Datendiebstahl

Ruft folgende Informationen vom betroffenen System ab:

• User Name
• Computer Name
• OS Version
• IP Address