RSS Feed
June 13th, 2009 
admin BackDoor-DNM Virüsü
Genel olarak IRC Chat, P2P Limewire ve BearShare gibi Yazılımlar, Posta Grupları ve E-Postalar aracılığıyla bulaşır.BackDoor-DNM Trojanı ama bilgisayarını kontrol altına almaktır.
Sistem32 Klasörünün altına “CbEvtSvc.exe” olarak yerleşir.
KAYIT DEFTERİ’ne yaptığı kayıtlar (Registery-Regedit) (bkz: Çalıştır’a regedit yazın )
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Enum HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC “NextInstance” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “Class”
Data: LegacyDriver HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “ClassGUID”
Data: {8ECC055D-047F-11D1-A537-0000F8753ED1} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “ConfigFlags” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “DeviceDesc”
Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “Legacy” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “Service” Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000\Control “*NewlyCreated*” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000\Control “ActiveService”
Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “DisplayName”
Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “ErrorControl” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “ImagePath”
Data: %SystemRoot%\System32\CbEvtSvc.exe -k netsvcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “ObjectName” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “Opt” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “Start” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “Type” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum “0″
Data: Root\LEGACY_CBEVTSVC\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum “Count” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum “NextInstance” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
BackDoor-DNM Bulaştıktan yaklaşık 10-30 dakika arasında aşağıdaki sitelerden Dailer ve Malware tarzı zararlıları bilgisayarınıza bulaştırır.
htxp://digitaltreath.info/a.exe
htxp://207.10.234.217/ldrctl/user/2.exe
htxp://digitaltreath.info/d.exe
BackDoor-DNM Diğer isimleri :
Trojan-Downloader.Win32.Agent.ljx – Trojan-Downloader.Win32.Agent.ljx – Win32/Agent.ETH – WORM_NUCRP.GEN
Hüseyin Cenkut ÖZKAN
Posted in 
Tags: 
