Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:BDS/Floder.mt
Descoperit pe data de:20/06/2011
Tip:Backdoor Server
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Marime:152.064 Bytes
MD5:2C172284DD0CD1D31C7F7C93E95C727C
Versiune VDF:7.11.10.37 - luni, 20 iunie 2011
Versiune IVDF:7.11.10.37 - luni, 20 iunie 2011

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: W32.Pilleuz
   •  TrendMicro: TROJ_SPNR.02FS11
     Microsoft: Worm:Win32/Dorkbot.I


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Creeaza fisiere
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %APPDATA%\%combinatie de caractere aleatoare%.exe



Sterge copia initiala a virusului.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%combinatie de caractere aleatoare%"="%APPDATA%\%combinatie de caractere aleatoare%.exe"



Se adauga in registrii sistemului:

[HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000000



Urmatoarea cheie din registri este modificata:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Noua valoare:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: **********.yourwebfind.com
Port: 5101
Parola serverului: hax0r

Server: **********.drwhox.com
Port: 5101
Parola serverului: hax0r

Server: **********.babypin.net
Port: 5101
Parola serverului: hax0r

Server: **********.beecitysearch.com
Port: 5101
Parola serverului: hax0r

Server: **********.mdmads.com
Port: 5101
Parola serverului: hax0r



 Acest malware poate obtine si trimite infomatii cum ar fi:
    • Utilizatorul curent
    • Informatii despre sistemul de operare


 In plus, poate efectua urmatoarele operatii:
    • intrare pe canal IRC
    • parasire canal IRC
    • executare atac DDoS

 Injectarea codului malware in alte procese  Se injecteaza ca un thread remote in procese.

    Urmatoarele procese:
   • explorer.exe
   • svchost.exe
   • winlogon.exe


 Alte informatii Acceseaza resurse de pe internet:
   • http://api.wipmania.com


Sir de caractere:
In plus, mai contine urmatorul sir de caractere:
   • IsDebuggerPresent

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Description inserted by Andrei Ilie on Monday, August 8, 2011
Description updated by Andrei Ilie on Monday, August 8, 2011

Back . . . .