Analysé par: Michael Cabel   

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Backdoor

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild::
    Oui

  Overview


  Détails techniques

File size: 10,563,072 bytes
File type: DLL
Memory resident: Oui
Date de réception des premiers échantillons: 13 juillet 2011

Installation

Fügt die folgenden Ordner hinzu:

  • %Program Files%\Wbod

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers1}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers2}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers3}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers4}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers5}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gieiab Prtvqoqt Bgj\Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

Andere Systemänderungen

Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
imgsvc = "StiSvc Gieiab Prtvqoqt Bgj"

(Note: The default value data of the said registry entry is StiSvc.)

Einschleusungsroutine

Schleust die folgenden Dateien ein:

  • %Program Files%\Wbod\Xkrlgrlng.pic - also detected as BKDR_INJECT.TP

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)