Backdoor:Win32/Bergat.B

CH azonosító

CH-11354

Angol cím

Backdoor:Win32/Bergat.B

Felfedezés dátuma

2014.06.10.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

Win32/Bergat.B lehetőséget ad egy támadónak hogy jogosulatlan hozzáférése legyen, és írányítsa a számítógépünket.

Leírás

Backdoor:Win32/Bergat.B másolja magát a c:documents and settingsadministratorapplication datamicrosoftfficekey.exe. helyre.

A program megváltoztatja a következő regisztrációs adatbázis bejegyzéseket annak érdekében hogy automatikusan indulhasson.

In subkey: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Sets value: “HKLM”
With data: “c:documents and settingsadministratorapplication datamicrosoftfficekey.exe”

Létrehozza a következő fájlokat:

  • c:documents and settingsadministratorapplication datamicrosoftwindowsp23tlcdmg0hp23tlcdmg0h.dat
  • c:documents and settingsadministratorapplication datamicrosoftwindowsp23tlcdmg0hp23tlcdmg0h.nfo
  • c:documents and settingsadministratorapplication datamicrosoftwindowsp23tlcdmg0hp23tlcdmg0h.svr
  • c:documents and settingsadministratorlocal settingstempaute.tmp
  • c:documents and settingsadministratorlocal settingstempautf.tmp
  • c:documents and settingsadministratorlocal settingstemprpe90c.lp2

A program olyan kódot használ amely segíti a rejtőzködését. Ezt a kódot a futó alkalmazásokba is elhelyezi.

  • svchost.exe

Eközben leállítja a valódi svchost.exe folyamatot.

A program hozzáférést biztosít a fertőzött számítógépen egy támadónak. Ennek segítségével a következőket próbálja véfrehajtani:
  • Letölt és futtat fájlokat
  • Feltölt fájlokat
  • Káros programokat terjeszt más számítógépekre
  • Monitorozza a bilentyűleütéseket így bizalmas információkat lophatnak
  • Megváltoztatja a rendszer tulajdonságait
  • Elindít, leállít alkalmazásokat
  • Fájlokat töröl