BDS/Jtram.E - Backdoor Server

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	BDS/Jtram.E
Descubierto:	08/12/2005
Tipo:	Servidor Backdoor
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	62.464 Bytes
Suma de control MD5:	46E5CBF6377AE68557243414A28F7F11
Versión del VDF:	6.32.01.09

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\mfm\msrll.exe

Crea el siguiente fichero:

– Fichero no malicioso:
• %SYSDIR%\mfm\jtrma.conf

Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm]
   • "Type"=dword:00000120
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000002
   • "ImagePath"="%SYSDIR%\mfm\msrll.exe"
   • "DisplayName"="Rll enhanced drive"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm\Security]
   • "Security"=%valores hex%

IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: stolen.zxy0.com
Puerto: 6667
Canal: #stolen
Apodo: %serie de caracteres aleatorios%

– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP
    • desconectarse del servidor IRC
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Salir del canal IRC
    • Reiniciar sistema
    • Se actualiza solo

Backdoor (Puerta trasera) Abre el siguiente puerto:

– %SYSDIR%\mfm\msrll.exe en el puerto TCP 3000 para proporcionar capabilidades de backdoor.

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• ASPack

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Fri, 09 Dec 2005 12:37 (GMT+1)
Descripción actualizada por Oliver Auerbach el Fri, 09 Dec 2005 18:02 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver