Nombre:BDS/Improg.2
Descubierto:03/01/2006
Tipo:Servidor Backdoor
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:39.423 Bytes
Suma de control MD5:886f3af525142488e4ad06a812755af5
Versión del VDF:6.29.00.9

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: BackDoor-CEP
   •  Kaspersky: Backdoor.Win32.Bifrose.kt
   •  TrendMicro: BKDR_BIFROSE.CI

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\nerodll.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed COmPonents\
   {8B75D81C-C498-4935-C5D1-43AA4DB90836}]
   • stubpath = %SYSDIR%\nerodll.exe s



Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Wget]
   • nck=hex:93,4e,16,04,67,03,2d,60,b4,3c,2a,5e,33,34,72,00,a3,78,26,35,57,32,2d,60,b4,3c,2a,5e,33,34,72,00

– [HKCU\SOFTWARE\Wget]
   • klg = hex:00

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • flashflashmx.3322.org

De esta forma obtiene el control remoto.

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Un proceso que está registrado bajo la siguiente llave de registro:
   • [HKLM\SOFTWARE\Classes\HTTP\shell\open\Command]

   Si la operación falla, el programa malicioso sigue ejecutándose como proceso.

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Andrei Gherman el martes 3 de enero de 2006
Descripción actualizada por Andrei Gherman el lunes 20 de febrero de 2006

Volver . . . .