Nombre:BDS/McMaggot.A
Descubierto:04/12/2008
Tipo:Servidor Backdoor
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:157.184 Bytes
Suma de control MD5:f596b22087d6404d538825413e266131
Versión del IVDF:7.01.00.184 - jueves 4 de diciembre de 2008

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: W32.Ackantta@mm
   •  Mcafee: W32/Xirtem@MM virus !!!
   •  Kaspersky: Trojan.Win32.Agent.asdj
   •  Grisoft: Downloader.Agent.APQJ
   •  Bitdefender: Backdoor.Bot.67413

Identificado anteriormente como:
   •  TR/Dropper.Gen


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Crea el siguiente fichero:

%WINDIR%\drm.ocx

 Registro –  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • QnX"="c:\%directorio donde se ejecuta el programa viral%\qnx.exe

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run
   • "QnX"="c:\%directorio donde se ejecuta el programa viral%\qnx.exe"



Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {77520Q86-864L-N81R-0R2W-7U2G0P22436U}
   • "StubPath"="\"c:\%directorio donde se ejecuta el programa viral%\qnx.exe\""

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • web1.**********.org

De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • Informaciones acerca de los procesos del sistema
    • Iniciar la captura de pulsaciones de teclado

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Alexander Neth el jueves 4 de diciembre de 2008
Descripción actualizada por Alexander Neth el jueves 4 de diciembre de 2008

Volver . . . .