¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/BodomBot.K
Descubierto:13/03/2006
Tipo:Servidor Backdoor
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:43.520 Bytes
Suma de control MD5:5c06b1746e3114c46f509ed405bbe6dd
Versin del VDF:6.34.00.36

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Kaspersky: Backdoor.Win32.BodomBot.k
   •  TrendMicro: BKDR_BODOMBOT.AB


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Suelta un fichero daino
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Crea el siguiente fichero:

%SYSDIR%\Mls32.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: BDS/BodomBot.K.1




Intenta descargar un fichero:

La direccin es la siguiente:
   • http://www.geocities.com/alexl6z/**********
El fichero est guardado en el disco duro en: %TEMPDIR%\30_7.exe Adems, este fichero es ejecutado despus de haber sido completamente descargado. Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

 Registro Aade las siguientes claves al registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • Multi Language Support = {3CFF6C67-AA57-11da-A0C5-00E04D001D1B}

[HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}]
   • @ = Multi Language Support

[HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}\InProcServer32]
   • @ = %SYSDIR%\Mls32.dll
   • ThreadingModel=Apartment

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: darkvt.rr.**********
Puerto: 4669
Contrasea del servidor: USA|%sistema operativo% |%serie de caracteres aleatorios%
Canal: #xmain
Contrasea: Normal

Servidor: darkvt.dynu.**********
Puerto: 4669
Contrasea del servidor: USA|%sistema operativo% |%serie de caracteres aleatorios%
Canal: #Nightwish
Contrasea: Sadness



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Contraseas guardadas
    • Captura de pantalla
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de los procesos del sistema
    • Informaciones acerca del sistema operativo Windows


 Adems puede efectuar las siguientes operaciones:
     conectarse al servidor IRC
     desconectarse del servidor IRC
    • Descargar fichero
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Reiniciar sistema
    • Apagar sistema
     Se actualiza solo

 Informaciones diversas  Para buscar una conexin a Internet, contacta el siguiente sitio web:
   • http://www.cnn.com

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • PECompact

Descripción insertada por Andrei Gherman el viernes 17 de marzo de 2006
Descripción actualizada por Andrei Gherman el viernes 17 de marzo de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.