Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/BodomBot.K
Scoperto:13/03/2006
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:43.520 Byte
Somma di controllo MD5:5c06b1746e3114c46f509ed405bbe6dd
Versione VDF:6.34.00.36

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.BodomBot.k
   •  TrendMicro: BKDR_BODOMBOT.AB


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Clona un file “maligno”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Viene creato il seguente file:

%SYSDIR%\Mls32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/BodomBot.K.1




Prova a scaricare un file:

– La posizione è la seguente:
   • http://www.geocities.com/alexl6z/**********
Viene salvato in locale sotto: %TEMPDIR%\30_7.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • Multi Language Support = {3CFF6C67-AA57-11da-A0C5-00E04D001D1B}

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}]
   • @ = Multi Language Support

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}\InProcServer32]
   • @ = %SYSDIR%\Mls32.dll
   • ThreadingModel=Apartment

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: darkvt.rr.**********
Porta: 4669
Password del server: USA|%sistema operativo%|%stringa di caratteri casuale%
Canale: #xmain
Password: Normal

Server: darkvt.dynu.**********
Porta: 4669
Password del server: USA|%sistema operativo%|%stringa di caratteri casuale%
Canale: #Nightwish
Password: Sadness



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Password memorizzate nella cache
    • Immagine “catturata” dallo schermo
    • Uptime del malware
    • Informazioni sui processi in corso
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Download di file
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
    • Riavviare il sistema
    • Arrestare il sistema
    • Aggiornarsi

 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://www.cnn.com

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PECompact

Descrizione inserita da Andrei Gherman su venerdì 17 marzo 2006
Descrizione aggiornata da Andrei Gherman su venerdì 17 marzo 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.