Nombre:BDS/Bandok.R.2
Descubierto:20/12/2005
Tipo:Servidor Backdoor
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:20.480 Bytes
Suma de control MD5:4A69364DF3EA6AF14FCEAFA910C2502B
Versión del VDF:6.33.00.25

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Backdoor.Win32.Bandok.r


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\msnmsgr.exe



Elimina el siguiente fichero:
   • c:\ali.html

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "*none"="%SYSDIR%\msnmsgr.exe"



Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion]
   • "bndkrt"="1648|msnmsgr.exe|none|1930|x|"

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {C6AB07ND-ADF3-4F02-0EE5-A156BTF-8AZ9}]
   • "StubPath"="%SYSDIR%\msnmsgr.exe"

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • **********.servemp3.com

De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • Contraseñas guardadas
    • Informaciones acerca de los procesos del sistema


Capabilidades de control remoto:
    • Eliminar archivo
    • Listar directorio
    • Descargar fichero
    • Editar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Redirigir puertos
    • Iniciar la captura de pulsaciones de teclado
    • Cargar fichero en Internet
    • Visitar un sitio web

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • iexplore.exe

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • bandook13

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Andrei Gherman el martes 20 de diciembre de 2005
Descripción actualizada por Andrei Gherman el martes 20 de diciembre de 2005

Volver . . . .