Name:BDS/Jtram.E
Entdeckt am:08/12/2005
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:62.464 Bytes
MD5 Prüfsumme:46E5CBF6377AE68557243414A28F7F11
VDF Version:6.32.01.09

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\mfm\msrll.exe



Es wird folgende Datei erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\mfm\jtrma.conf

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm]
   • "Type"=dword:00000120
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000002
   • "ImagePath"="%SYSDIR%\mfm\msrll.exe"
   • "DisplayName"="Rll enhanced drive"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm\Security]
   • "Security"=%Hex Werte%

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: stolen.zxy0.com
Port: 6667
Channel: #stolen
Nickname: %zufällige Buchstabenkombination%


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • DDoS ICMP Angriff starten
    • DDoS SYN Angriff starten
    • DDoS UDP Angriff starten
    • vom IRC Server abmelden
    • Datei ausführen
    • IRC Chatraum betreten
    • IRC Chatraum verlassen
    • System neu starten
    • Aktualisiert sich selbst

 Hintertür Der folgende Port wird geöffnet:

%SYSDIR%\mfm\msrll.exe am TCP Port 3000 um Backdoor Funktion zur Verfügung zu stellen.

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • ASPack

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 9. Dezember 2005
Die Beschreibung wurde geändert von Oliver Auerbach am Freitag, 9. Dezember 2005

zurück . . . .