Analysé par: kathleenno   
 

Backdoor.Tidserv (Symantec); Trojan:Win32/Meredrop (Microsoft); Backdoor.Win32.TDSS.ewa (Kaspersky)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Backdoor

  • Destructif:
    Oui

  • Chiffrement:
    Non

  • In the wild::
    Oui

  Overview

Löscht Registrierungseinträge, so dass einige Anwendungen und Programme nicht ordnungsgemäß ausgeführt werden.

Löscht sich nach der Ausführung selbst.

  Détails techniques

File size: 174,080 bytes
Memory resident: Oui
Date de réception des premiers échantillons: 06 avril 2011
Charge malveillante: Modifies system registry, Compromises system security

Installation

Schleust die folgenden Dateien ein:

  • %System%\spool\prtprocs\w32x86\{random filename}.dll
  • %Windows%\Temp\{random filename}.sys

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust Eigenkopien in Ordner ein, deren Name diese Zeichenfolgen enthält:

  • %User Temp%\{random filename}

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

Kathleen Mae Notario: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
NameServer = 93.188.165.175,93.188.160.235

(Note: The default value data of the said registry entry is blank.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\
Interfaces\{network ID}}
NameServer = 93.188.165.175,93.188.160.235

(Note: The default value data of the said registry entry is blank.)

Löscht die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
DhcpNameServer = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
DhcpDomain = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\
Interfaces\{network ID}
DhcpNameServer = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\
Interfaces\{network ID}
DhcpDefaultGateway = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\
Interfaces\{network ID}
DhcpDomain = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\
Interfaces\{network ID}
DhcpSubnetMaskOpt = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{network ID}\Parameters\
Tcpip
DhcpDefaultGateway = {user-defined}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{network ID}\Parameters\
Tcpip
DhcpSubnetMaskOpt = {user-defined}

Andere Details

Löscht sich nach der Ausführung selbst.