Nombre:BDS/Bot.145845
Descubierto:10/11/2011
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:73.728 Bytes
Suma de control MD5:EE2DC1DC7CCA53CE57015D6564DA2243
Versión del VDF:7.11.17.126 - jueves, 10 de noviembre de 2011
Versión del IVDF:7.11.17.126 - jueves, 10 de noviembre de 2011

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Clicker.Win32.Agent.vjh
   •  Sophos: W32/Slenfbot-AG
   •  Bitdefender: Backdoor.Bot.145845
   •  Microsoft: Trojan:Win32/Dooxud.A
   •  Eset: Win32/Injector.KTS
   •  DrWeb: BackDoor.IRC.Bot.166


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %HOME%\Application Data\%serie de caracteres aleatorios%.exe



Crea el siguiente fichero:

%TEMPDIR%\google_cachepages2.tmp Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • website=1




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • count.lo**********.com/xmyms.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
   • coun**********.com/xms0481.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.lo**********.com/x200.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.lo**********.com/x201.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.lo**********.com/x202.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.lo**********.com/x203.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.ah**********.net/xmyms.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.ah**********.net/xms0481.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.ah**********.net/x200.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.ah**********.net/x201.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.ah**********.net/x202.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Offend.kdv.404824.6


– La dirección es la siguiente:
   • count.ah**********.net/x203.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.sy**********.us/xmyms.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.sy**********.us/xms0481.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.sy**********.us/x200.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.sy**********.us/x201.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.sy**********.us/x202.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

– La dirección es la siguiente:
   • count.sy**********.us/x203.exe
El fichero está guardado en el disco duro en: %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios de siete dígitos%.exe

 Registro Añade la siguiente clave al registro:

– HKCU\SessionInformation
   • "24hrs"=dword:4ddba780



Modifica la siguiente clave del registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Nuevo valor:
   • "userinit"= %SYSDIR%\userinit.exe,%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%.exe -init
     "Taskman" = %HOME%\\Application Data\\%serie de caracteres aleatorios%.exe -tman

 Backdoor (Puerta trasera) Abre el siguiente puerto:

– iexplore.exe en el puerto TCP para proporcionar capabilidades de backdoor.


Servidor contactado:
La siguiente:
   • check**********.net

De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
    • Descargar fichero
    • Ejecutar fichero
    • Visitar un sitio web

 Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • iexplorer.exe


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • t2fyowming

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Ana Maria Niculescu el martes, 15 de noviembre de 2011
Descripción actualizada por Ana Maria Niculescu el martes, 15 de noviembre de 2011

Volver . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos los derechos reservados.

Mi Cuenta

https:// Esta ventana está cifrada para su seguridad.