Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/BodomBot.K
La date de la découverte:13/03/2006
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:43.520 Octets
Somme de contrôle MD5:5c06b1746e3114c46f509ed405bbe6dd
Version VDF:6.34.00.36

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.BodomBot.k
   •  TrendMicro: BKDR_BODOMBOT.AB


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Le fichier suivant est créé:

%SYSDIR%\Mls32.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/BodomBot.K.1




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://www.geocities.com/alexl6z/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\30_7.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • Multi Language Support = {3CFF6C67-AA57-11da-A0C5-00E04D001D1B}

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}]
   • @ = Multi Language Support

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}\InProcServer32]
   • @ = %SYSDIR%\Mls32.dll
   • ThreadingModel=Apartment

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: darkvt.rr.**********
Port: 4669
Le mot de passe du serveur: USA|%système d'exploitation%|%chaîne de caractères aléatoire%
Canal: #xmain
Mot de passe: Normal

Serveur: darkvt.dynu.**********
Port: 4669
Le mot de passe du serveur: USA|%système d'exploitation%|%chaîne de caractères aléatoire%
Canal: #Nightwish
Mot de passe: Sadness



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Capture d'écran
    • Le temps de fonctionnement du Malware
    • Information sur des processus courants
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Redémarrer le système
    • Arrêter le système
    • Se mettre à jour tout seul

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://www.cnn.com

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • PECompact

Description insérée par Andrei Gherman le vendredi 17 mars 2006
Description mise à jour par Andrei Gherman le vendredi 17 mars 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.