Nom:BDS/Jtram.E
La date de la découverte:08/12/2005
Type:Serveur porte dérobée
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:62.464 Octets
Somme de contrôle MD5:46E5CBF6377AE68557243414A28F7F11
Version VDF:6.32.01.09

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\mfm\msrll.exe



Le fichier suivant est créé:

– Fichier inoffensif:
   • %SYSDIR%\mfm\jtrma.conf

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm]
   • "Type"=dword:00000120
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000002
   • "ImagePath"="%SYSDIR%\mfm\msrll.exe"
   • "DisplayName"="Rll enhanced drive"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm\Security]
   • "Security"=%valeurs hexa%

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: stolen.zxy0.com
Port: 6667
Canal: #stolen
Pseudonyme: %chaîne de caractères aléatoire%


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • se déconnecter du serveur IRC
    • Exécuter un fichier
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Redémarrer le système
    • Se mettre à jour tout seul

 Porte dérobée Le port suivant est ouvert:

%SYSDIR%\mfm\msrll.exe sur le port TCP 3000 afin de fournir de capacités de porte dérobée

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ASPack

Description insérée par Andrei Gherman le vendredi 9 décembre 2005
Description mise à jour par Oliver Auerbach le vendredi 9 décembre 2005

Retour . . . .