Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/BodomBot.K
La date de la dcouverte:13/03/2006
Type:Serveur porte drobe
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:43.520 Octets
Somme de contrle MD5:5c06b1746e3114c46f509ed405bbe6dd
Version VDF:6.34.00.36

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.BodomBot.k
   •  TrendMicro: BKDR_BODOMBOT.AB


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge un fichier
   • Il cre un fichier malveillant
   • Il modifie des registres
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Le fichier suivant est cr:

%SYSDIR%\Mls32.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: BDS/BodomBot.K.1




Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://www.geocities.com/alexl6z/**********
Il est sauvegard sur le disque dur local l'emplacement: %TEMPDIR%\30_7.exe Ensuite, ce fichier est excut aprs avoir t completment tlcharg. Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

 Registre Les cls de registre suivantes sont ajoute:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • Multi Language Support = {3CFF6C67-AA57-11da-A0C5-00E04D001D1B}

[HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}]
   • @ = Multi Language Support

[HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}\InProcServer32]
   • @ = %SYSDIR%\Mls32.dll
   • ThreadingModel=Apartment

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: darkvt.rr.**********
Port: 4669
Le mot de passe du serveur: USA|%systme d'exploitation%|%chane de caractres alatoire%
Canal: #xmain
Mot de passe: Normal

Serveur: darkvt.dynu.**********
Port: 4669
Le mot de passe du serveur: USA|%systme d'exploitation%|%chane de caractres alatoire%
Canal: #Nightwish
Mot de passe: Sadness



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antmmoire:
    • Capture d'cran
    • Le temps de fonctionnement du Malware
    • Information sur des processus courants
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     se connecter au serveur IRC
     se dconnecter du serveur IRC
    • Tlcharger un fichier
    • Excuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande distance
    • Oprer un attaque DDoS
    • Redmarrer le systme
    • Arrter le systme
     Se mettre jour tout seul

 Informations divers  Il vrifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://www.cnn.com

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • PECompact

Description insérée par Andrei Gherman le vendredi 17 mars 2006
Description mise à jour par Andrei Gherman le vendredi 17 mars 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.