Backdoor:Win32/Phdet

Shrnutí

Backdoor:Win32/Phdet je generická detekce pro rodinu backdoor trojských koní, která se používá k provádění Distributed Denial of Service útoky proti některým cílům.

Top

---

 

Příznaky

Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být jediným příznakem (y).

Top

---

 

Technické informace (analýza)

Backdoor:Win32/Phdet je generická detekce pro rodinu backdoor trojských koní, která se používá k provádění Distributed Denial of Service útoky proti některým cílům.

Instalace

Kdy Backdoor:Win32/Phdetse provádí, zkopíruje se do <system folder>. Používá název souboru se může u různých variantách. Například, jeden vzorek pozorován aby kopíroval sám sebe do následujícího umístění:

• <system folder> \ mssrv32.exe

 

Backdoor:Win32/Phdet vytváří službu spustit jeho kopii úpravou registru, například:

Chcete-li podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Services \ msupdate

Přidanou hodnotu: "ImagePath"
Vzhledem k objemu dat: "<system folder> \ mssrv32.exe"

Přidanou hodnotu: "DisplayName"
s údaji: "Microsoft aktualizace zabezpečení služby"

Přidanou hodnotu: "Popis " 
s údaji: "Tato služba stahování a instalaci aktualizací zabezpečení systému Windows"

Přidanou hodnotu: "objectname"
s údaji: "LocalSystem"

Přidanou hodnotu: "Start"
S údajů: 2

Přidanou hodnotu: "ErrorControl"
S údajů: 0

Přidanou hodnotu: "typ" 
S dat: 16

Užitečná

Provádí popření servisních útoků

Pomocí tohoto backdoor, může útočník provést popření servisních útoků proti některým cílům. Vzdálený útočník může použít tento backdoor provádět následující akce na postiženém počítači:

• povodeň - provádět povodňové útoky pomocí ICMP, SYN, HTTP nebo UDP
• stop - malware spí
• die - odinstaluje malware
• otevřít - spustit určité adresy URL pomocí IEXPLORE.EXE

 

Backdoor:Win32/Phdetmohou také zveřejnit informace týkající se systému na vzdálený počítač. Sledovali jsme jeden vzorek styku hack-off.ru pro tento účel.