Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:BDS/BodomBot.K
Descoperit pe data de:13/03/2006
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:43.520 Bytes
MD5:5c06b1746e3114c46f509ed405bbe6dd
Versiune VDF:6.34.00.36

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Backdoor.Win32.BodomBot.k
   •  TrendMicro: BKDR_BODOMBOT.AB


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Creeaza un fisier malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Este creat fisierul:

%SYSDIR%\Mls32.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/BodomBot.K.1




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://www.geocities.com/alexl6z/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\30_7.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • Multi Language Support = {3CFF6C67-AA57-11da-A0C5-00E04D001D1B}

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}]
   • @ = Multi Language Support

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}\InProcServer32]
   • @ = %SYSDIR%\Mls32.dll
   • ThreadingModel=Apartment

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: darkvt.rr.**********
Port: 4669
Parola serverului: USA|%sistem de operare%|%combinatie de caractere aleatoare%
Canal: #xmain
Parola: Normal

Server: darkvt.dynu.**********
Port: 4669
Parola serverului: USA|%sistem de operare%|%combinatie de caractere aleatoare%
Canal: #Nightwish
Parola: Sadness



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Parole retinute
    • Captura ecranului
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre procesele sistemului
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • deconectare server IRC
    • descarcare fisier
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • deschidere consola
    • executare atac DDoS
    • repornirea sistemului
    • oprierea sistemului
    • Se actualizeaza singur

 Alte informatii  Cauta o conexiune Internet, contactand urmatorul website:
   • http://www.cnn.com

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • PECompact

Description inserted by Andrei Gherman on Friday, March 17, 2006
Description updated by Andrei Gherman on Friday, March 17, 2006

Back . . . .