Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Floder.mt
Scoperto:20/06/2011
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
Dimensione del file:152.064 Byte
Somma di controllo MD5:2C172284DD0CD1D31C7F7C93E95C727C
Versione VDF:7.11.10.37 - lunedì 20 giugno 2011
Versione IVDF:7.11.10.37 - lunedì 20 giugno 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: W32.Pilleuz
   •  TrendMicro: TROJ_SPNR.02FS11
   •  Microsoft: Worm:Win32/Dorkbot.I


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %APPDATA%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%.exe"



Viene aggiunta la seguente chiave di registro:

– [HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000000



Viene cambiata la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuovo valore:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: **********.yourwebfind.com
Porta: 5101
Password del server: hax0r

Server: **********.drwhox.com
Porta: 5101
Password del server: hax0r

Server: **********.babypin.net
Porta: 5101
Password del server: hax0r

Server: **********.beecitysearch.com
Porta: 5101
Password del server: hax0r

Server: **********.mdmads.com
Porta: 5101
Password del server: hax0r



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Utente corrente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Eseguire un attacco DdoS

 Come il virus si inserisce nei processi – Si inserisce come minaccia remota nei processi.

    Tutti i seguenti processi:
   • explorer.exe
   • svchost.exe
   • winlogon.exe


 Varie Accede alle risorse Internet:
   • http://api.wipmania.com


Stringa:
In più contiene la seguente stringa:
   • IsDebuggerPresent

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Andrei Ilie su lunedì 8 agosto 2011
Descrizione aggiornata da Andrei Ilie su lunedì 8 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.