¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/BodomBot.K
Descubierto:13/03/2006
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:43.520 Bytes
Suma de control MD5:5c06b1746e3114c46f509ed405bbe6dd
Versión del VDF:6.34.00.36

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Backdoor.Win32.BodomBot.k
   •  TrendMicro: BKDR_BODOMBOT.AB


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Crea el siguiente fichero:

%SYSDIR%\Mls32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/BodomBot.K.1




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.geocities.com/alexl6z/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\30_7.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • Multi Language Support = {3CFF6C67-AA57-11da-A0C5-00E04D001D1B}

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}]
   • @ = Multi Language Support

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}\InProcServer32]
   • @ = %SYSDIR%\Mls32.dll
   • ThreadingModel=Apartment

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: darkvt.rr.**********
Puerto: 4669
Contraseña del servidor: USA|%sistema operativo% |%serie de caracteres aleatorios%
Canal: #xmain
Contraseña: Normal

Servidor: darkvt.dynu.**********
Puerto: 4669
Contraseña del servidor: USA|%sistema operativo% |%serie de caracteres aleatorios%
Canal: #Nightwish
Contraseña: Sadness



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Contraseñas guardadas
    • Captura de pantalla
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de los procesos del sistema
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • desconectarse del servidor IRC
    • Descargar fichero
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Reiniciar sistema
    • Apagar sistema
    • Se actualiza solo

 Informaciones diversas  Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • http://www.cnn.com

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • PECompact

Descripción insertada por Andrei Gherman el viernes, 17 de marzo de 2006
Descripción actualizada por Andrei Gherman el viernes, 17 de marzo de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.