Nume:BDS/Jtram.E
Descoperit pe data de:08/12/2005
Tip:Backdoor Server
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:62.464 Bytes
MD5:46E5CBF6377AE68557243414A28F7F11
Versiune VDF:6.32.01.09

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\mfm\msrll.exe



Este creat fisierul:

– Fisier inofensiv:
   • %SYSDIR%\mfm\jtrma.conf

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm]
   • "Type"=dword:00000120
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000002
   • "ImagePath"="%SYSDIR%\mfm\msrll.exe"
   • "DisplayName"="Rll enhanced drive"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm\Security]
   • "Security"=%valori hex%

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: stolen.zxy0.com
Port: 6667
Canal: #stolen
Nick: %combinatie de caractere aleatoare%


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS ICMP
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • deconectare server IRC
    • executarea unui fisier
    • intrare pe canal IRC
    • parasire canal IRC
    • repornirea sistemului
    • Se actualizeaza singur

 Backdoor Deschide portul

– %SYSDIR%\mfm\msrll.exe pe portul TCP 3000 pentru a oferi functionalitate de backdoor.

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • ASPack

Description insérée par Andrei Gherman le vendredi 9 décembre 2005
Description mise à jour par Oliver Auerbach le vendredi 9 décembre 2005

Retour . . . .