PCの修理が必要ですか?
専門家に頼む
ウイルスBDS/BodomBot.K
発見日:13/03/2006
タイプバックドア・サーバ型
感染報告有りいいえ
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ43.520 バイト
MD5 チェックサム5c06b1746e3114c46f509ed405bbe6dd
VDFファージョン:6.34.00.36

 一般情報 感染方法
   • それ自体に伝染能力はない


別名
   •  Kaspersky: Backdoor.Win32.BodomBot.k
   •  TrendMicro: BKDR_BODOMBOT.AB


プラットフォーム/OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • レジストリの改変。
   • サード・パーティ・コントロール

 ファイル 以下のファイルが作成されます:

%SYSDIR%\Mls32.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: BDS/BodomBot.K.1




ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://www.geocities.com/alexl6z/**********
ハードディスクの以下のパスにセーヴされます: %TEMPDIR%\30_7.exe ダウンロードが終了した後、起動されます。 これを書き込んだ時点で、インターネット上でこのファイルにアクセスできなかったため、詳しい調査ができませんでした。

 レジストリ 以下のレジストリ・キーが追加されます:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • Multi Language Support = {3CFF6C67-AA57-11da-A0C5-00E04D001D1B}

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}]
   • @ = Multi Language Support

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}\InProcServer32]
   • @ = %SYSDIR%\Mls32.dll
   • ThreadingModel=Apartment

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ darkvt.rr.**********
ポート: 4669
サーバ・パスワード USA|%オペレーティングシステム%|%ランダムな文字列%
チャンネル #xmain
パスワード Normal

サーバ darkvt.dynu.**********
ポート: 4669
サーバ・パスワード USA|%オペレーティングシステム%|%ランダムな文字列%
チャンネル #Nightwish
パスワード Sadness



– このマルウェアは以下の情報を収集し送る能力があります:
    • キャッシュに入ったパスワード
    • スクリーンを取り込む
    • マルウェアの起動時間
    • 起動中のプロセスについての情報
    • ウインドウズOSについての情報


– その他以下のアクションを実行することもできます:
    • IRCサーバと接続します。
    • IRCサーバとの接続を終了します。
    • ダウンロード・ファイル
    • 実行ファイル
    • IRCチャンネルに入室する
    • プロセスを強制終了する
    • IRCチャンネルを退室する
    • リモートシェルを開く
    • DDoS攻撃を実行する
    • システム再起動
    • システムをシャットダウンする
    • それ自身をアップデートします。

 その他  インターネット接続環境を調べるため、以下のウェブサイトに接続しようとします:
   • http://www.cnn.com

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
   • PECompact

説明の挿入者 Andrei Gherman の 2006年3月17日金曜日
説明の更新者 Andrei Gherman の 2006年3月17日金曜日

戻る . . . .
https:// このウィンドウは暗号化されています。