English
Deutsch
Francais
Español
Italian
Home
Virus Info
BDS/BodomBot.K
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
BDS/BodomBot.K - Backdoor Server
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
BDS/BodomBot.K
発見日:
13/03/2006
タイプ
バックドア・サーバ型
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
43.520 バイト
MD5 チェックサム
5c06b1746e3114c46f509ed405bbe6dd
VDFファージョン:
6.34.00.36
- Mon, 13 Mar 2006 10:55 (GMT+1)
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Kaspersky(カスペルスキー) Backdoor.Win32.BodomBot.k
• TrendMicro(トレンドマイクロ) BKDR_BODOMBOT.AB
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• ファイルをダウンロードします。
• 悪意ファイルを作成します。
• レジストリの改変。
• サード・パーティ・コントロール
ファイル
以下のファイルが作成されます:
–
%SYSDIR%
\Mls32.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: BDS/BodomBot.K.1
ファイルをダウンロードしようとします:
– 場所は以下の通りです:
• http://www.geocities.com/alexl6z/**********
ハードディスクの以下のパスにセーヴされます:
%TEMPDIR%
\30_7.exe ダウンロードが終了した後、起動されます。 これを書き込んだ時点で、インターネット上でこのファイルにアクセスできなかったため、詳しい調査ができませんでした。
レジストリ
以下のレジストリ・キーが追加されます:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
• Multi Language Support = {3CFF6C67-AA57-11da-A0C5-00E04D001D1B}
– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}]
• @ = Multi Language Support
– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}\InProcServer32]
• @ =
%SYSDIR%
\Mls32.dll
• ThreadingModel=Apartment
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ darkvt.rr.**********
ポート: 4669
サーバ・パスワード USA|
%オペレーティングシステム%
|
%ランダムな文字列%
チャンネル #xmain
パスワード Normal
サーバ darkvt.dynu.**********
ポート: 4669
サーバ・パスワード USA|
%オペレーティングシステム%
|
%ランダムな文字列%
チャンネル #Nightwish
パスワード Sadness
– このマルウェアは以下の情報を収集し送る能力があります:
• キャッシュに入ったパスワード
• スクリーンを取り込む
• マルウェアの起動時間
• 起動中のプロセスについての情報
• ウインドウズOSについての情報
– その他以下のアクションを実行することもできます:
• IRCサーバと接続します。
• IRCサーバとの接続を終了します。
• ダウンロード・ファイル
• 実行ファイル
• IRCチャンネルに入室する
• プロセスを強制終了する
• IRCチャンネルを退室する
• リモートシェルを開く
• DDoS攻撃を実行する
• システム再起動
• システムをシャットダウンする
• それ自身をアップデートします。
その他
インターネット接続環境を調べるため、以下のウェブサイトに接続しようとします:
• http://www.cnn.com
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• PECompact
簡単な説明は
ココ
にあります。.
この説明は Andrei Gherman によって Fri, 17 Mar 2006 08:38 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Fri, 17 Mar 2006 08:46 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
