Nombre:BDS/Agent.FK.2
Descubierto:12/09/2006
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:66.560 Bytes
Suma de control MD5:8b1989f14257e9a05044d34d94d1af47
Versión del VDF:6.35.01.215
Versión del IVDF:6.35.01.219 - miércoles 13 de septiembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Backdoor.Win32.Agent.fk
   •  TrendMicro: BKDR_AGENT.ETZ
   •  F-Secure: Backdoor.Win32.Agent.fk
   •  Grisoft: BackDoor.Agent.CJW
   •  Eset: Win32/Agent.NBG


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Registra las pulsaciones de teclado
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Crea los siguientes ficheros:

%SYSDIR%\w32setng.dat
%SYSDIR%\Netx1.dat En este fichero se registran las pulsaciones de teclado.
%SYSDIR%\Netx2.dat En este fichero se registran las pulsaciones de teclado.
%SYSDIR%\Netxk.datQ En este fichero se registran las pulsaciones de teclado.



Intenta descargar un fichero:

– La dirección es la siguiente:
   • www.geocities.com/sbstnrother/**********
El fichero está guardado en el disco duro en: %temporary internet files%\ngaq.zip Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: paln.fw.**********
Puerto: 4668
Canal: #net2
Apodo: USA|%sistema operativo% |%serie de caracteres aleatorios de cuatro dígitos%

Servidor: srother.kwik.**********
Puerto: 4669
Canal: #net1
Apodo: USA|%sistema operativo% |%serie de caracteres aleatorios de cuatro dígitos%

Servidor: quant.mooo.**********
Puerto: 4669
Canal: #net3
Apodo: USA|%sistema operativo% |%serie de caracteres aleatorios de cuatro dígitos%



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Informaciones acerca de los procesos del sistema
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de TCP
    • Iniciar ataques DDoS por desbordamiento de UDP
    • desconectarse del servidor IRC
    • Descargar fichero
    • Terminar proceso
    • Iniciar la captura de pulsaciones de teclado
    • Terminar proceso

 Informaciones diversas  Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • www.cnn.com

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • PECompact2

Descripción insertada por Adriana Popa el viernes 13 de octubre de 2006
Descripción actualizada por Adriana Popa el viernes 13 de octubre de 2006

Volver . . . .