Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/BodomBot.K
Entdeckt am:13/03/2006
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:43.520 Bytes
MD5 Prfsumme:5c06b1746e3114c46f509ed405bbe6dd
VDF Version:6.34.00.36

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Backdoor.Win32.BodomBot.k
   •  TrendMicro: BKDR_BODOMBOT.AB


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt eine Dateien herunter
   • Erstellt eine potentiell gefhrliche Datei
   • nderung an der Registry
   • Ermglicht unbefugten Zugriff auf den Computer

 Dateien Es wird folgende Datei erstellt:

%SYSDIR%\Mls32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/BodomBot.K.1




Es wird versucht folgende Datei herunterzuladen:

Die URL ist folgende:
   • http://www.geocities.com/alexl6z/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\30_7.exe Des Weiteren wird diese Datei ausgefhrt nachdem sie vollstndig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

 Registry Folgende Registryschlssel werden hinzugefgt:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • Multi Language Support = {3CFF6C67-AA57-11da-A0C5-00E04D001D1B}

[HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}]
   • @ = Multi Language Support

[HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}\InProcServer32]
   • @ = %SYSDIR%\Mls32.dll
   • ThreadingModel=Apartment

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: darkvt.rr.**********
Port: 4669
Passwort des Servers: USA|%Betriebssystem%|%zufllige Buchstabenkombination%
Channel: #xmain
Passwort: Normal

Server: darkvt.dynu.**********
Port: 4669
Passwort des Servers: USA|%Betriebssystem%|%zufllige Buchstabenkombination%
Channel: #Nightwish
Passwort: Sadness



 Dieser Schdling hat die Fhigkeit folgende Informationen zu sammeln und zu bermitteln:
    • Versteckte Passwrter
    • Speichern der Bildschirmanzeige
    • Arbeitszeit der Malware
    • Informationen ber laufende Prozesse
    • Information ber das Windows Betriebsystem


 Des Weiteren besitzt die Malware die Fhigkeit folgende Aktionen durchzufhren:
     mit IRC Server verbinden
     vom IRC Server abmelden
    • Datei herunterladen
    • Datei ausfhren
    • IRC Chatraum betreten
    • Prozess abbrechen
    • IRC Chatraum verlassen
    • ffnen einer remote shell
    • DDoS Attacke durchfhren
    • System neu starten
    • System herunterfahren
     Aktualisiert sich selbst

 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu berprfen:
   • http://www.cnn.com

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • PECompact

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 17. März 2006
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 17. März 2006

zurück . . . .