¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/Bot.145845
Descubierto:10/11/2011
Tipo:Servidor Backdoor
En circulacin (ITW):No
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:73.728 Bytes
Suma de control MD5:EE2DC1DC7CCA53CE57015D6564DA2243
Versin del VDF:7.11.17.126 - jueves 10 de noviembre de 2011
Versin del IVDF:7.11.17.126 - jueves 10 de noviembre de 2011

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Kaspersky: Trojan-Clicker.Win32.Agent.vjh
   •  Sophos: W32/Slenfbot-AG
   •  Bitdefender: Backdoor.Bot.145845
     Microsoft: Trojan:Win32/Dooxud.A
   •  Eset: Win32/Injector.KTS
     DrWeb: BackDoor.IRC.Bot.166


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %HOME%\Application Data\%serie de caracteres aleatorios%.exe



Crea el siguiente fichero:

%TEMPDIR%\google_cachepages2.tmp Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • website=1




Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • count.lo**********.com/xmyms.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe Adems, este fichero es ejecutado despus de haber sido completamente descargado.

La direccin es la siguiente:
   • coun**********.com/xms0481.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.lo**********.com/x200.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.lo**********.com/x201.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.lo**********.com/x202.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.lo**********.com/x203.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.ah**********.net/xmyms.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.ah**********.net/xms0481.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.ah**********.net/x200.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.ah**********.net/x201.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.ah**********.net/x202.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe Adems, este fichero es ejecutado despus de haber sido completamente descargado. Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Offend.kdv.404824.6


La direccin es la siguiente:
   • count.ah**********.net/x203.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.sy**********.us/xmyms.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.sy**********.us/xms0481.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.sy**********.us/x200.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.sy**********.us/x201.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.sy**********.us/x202.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

La direccin es la siguiente:
   • count.sy**********.us/x203.exe
El fichero est guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dgitos%.exe

 Registro Aade la siguiente clave al registro:

HKCU\SessionInformation
   • "24hrs"=dword:4ddba780



Modifica la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Nuevo valor:
   • "userinit"= %SYSDIR%\userinit.exe,%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%.exe -init
     "Taskman" = %HOME%\\Application Data\\%serie de caracteres aleatorios%.exe -tman

 Backdoor (Puerta trasera) Abre el siguiente puerto:

iexplore.exe en el puerto TCP para proporcionar capabilidades de backdoor.


Servidor contactado:
La siguiente:
   • check**********.net

De esta forma, puede enviar informaciones y obtener el control remoto.

Enva informaciones acerca de:
     Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
     Descargar fichero
     Ejecutar fichero
     Visitar un sitio web

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

    Nombre del proceso:
   • iexplorer.exe


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • t2fyowming

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Ana Maria Niculescu el martes 15 de noviembre de 2011
Descripción actualizada por Ana Maria Niculescu el martes 15 de noviembre de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.