BKDR_PUDSHELL.B

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird. However, as of this writing, the said sites are inaccessible.

Installation

Schleust folgende nicht bösartige Datei ein:

• %System%\c_130475.NLS

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• {MSC.W1758F-AA438F129C.CFF}

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr\Enum

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR
NextInstance = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000
Service = "SRMsvr"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000
Legacy = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000
ConfigFlags = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000
Class = "LegacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000
DeviceDesc = "Security Object Audit"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000\Control
*NewlyCreated* = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SRMSVR\
0000\Control
ActiveService = "SRMsvr"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
ImagePath = "{malware path}\{malware name}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
DisplayName = "Security Object Audit"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr
Description = "Responsible for performing security access checks on objects, manipulating privileges (user rights), and generating any resulting security audit messages."

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr\Security
Security = "{values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr\Enum
0 = "Root\Legacy_SRMSVR\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr\Enum
Count = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SRMsvr\Enum
NextInstance = "1"

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Remote command prompt

Sendet die folgenden Informationen an ihren Befehls- und Steuerungsserver (C&C):

• Host name

However, as of this writing, the said sites are inaccessible.