Nome del virus:BDS/Jtram.E
Scoperto:08/12/2005
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:62.464 Byte
Somma di controllo MD5:46E5CBF6377AE68557243414A28F7F11
Versione VDF:6.32.01.09

 File Si copia alla seguente posizione:
   • %SYSDIR%\mfm\msrll.exe



Viene creato il seguente file:

– File “non maligno”:
   • %SYSDIR%\mfm\jtrma.conf

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm]
   • "Type"=dword:00000120
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000002
   • "ImagePath"="%SYSDIR%\mfm\msrll.exe"
   • "DisplayName"="Rll enhanced drive"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm\Security]
   • "Security"=%valori esadecimali%

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: stolen.zxy0.com
Porta: 6667
Canale: #stolen
Nickname: %stringa di caratteri casuale%


– In più ha la capacità di effettuare azioni quali:
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS UDP
    • disconnettere dal server IRC
    • Eseguire file
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Riavviare il sistema
    • Aggiornarsi

 Backdoor Viene aperta la seguente porta:

%SYSDIR%\mfm\msrll.exe sulla porta TCP 3000 con lo scopo di procurarsi delle possibili backdoor.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • ASPack

Descrizione inserita da Andrei Gherman su venerdì 9 dicembre 2005
Descrizione aggiornata da Oliver Auerbach su venerdì 9 dicembre 2005

Indietro . . . .