Nombre:BDS/Jtram.E
Descubierto:08/12/2005
Tipo:Servidor Backdoor
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:62.464 Bytes
Suma de control MD5:46E5CBF6377AE68557243414A28F7F11
Versión del VDF:6.32.01.09

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\mfm\msrll.exe



Crea el siguiente fichero:

– Fichero no malicioso:
   • %SYSDIR%\mfm\jtrma.conf

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm]
   • "Type"=dword:00000120
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000002
   • "ImagePath"="%SYSDIR%\mfm\msrll.exe"
   • "DisplayName"="Rll enhanced drive"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm\Security]
   • "Security"=%valores hex%

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: stolen.zxy0.com
Puerto: 6667
Canal: #stolen
Apodo: %serie de caracteres aleatorios%


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP
    • desconectarse del servidor IRC
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Salir del canal IRC
    • Reiniciar sistema
    • Se actualiza solo

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\mfm\msrll.exe en el puerto TCP 3000 para proporcionar capabilidades de backdoor.

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • ASPack

Descripción insertada por Andrei Gherman el viernes 9 de diciembre de 2005
Descripción actualizada por Oliver Auerbach el viernes 9 de diciembre de 2005

Volver . . . .