Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:BDS/BodomBot.K
发现日期:13/12/2012
类型:后门程序服务器
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:43.520 字节
MD5 校检和:5c06b1746e3114c46f509ed405bbe6dd
VDF 版本:7.11.53.216

 况概描述 传播方法:
   • 无内置传播例程


别名:
   •  Kaspersky: Backdoor.Win32.BodomBot.k
   •  TrendMicro: BKDR_BODOMBOT.AB


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 下载文件
   • 植入恶意文件
   • 注册表修改
   • 第三方控件

 文件 创建以下文件:

– %SYSDIR%\Mls32.dll 进一步的调查表明,此文件是恶意软件。 检测为: BDS/BodomBot.K.1




它会尝试下载文件:

– 该位置如下所示:
   • http://www.geocities.com/alexl6z/**********
它会保存在硬盘驱动器以下的位置: %TEMPDIR%\30_7.exe 成功下载后执行。 撰写本文时,此文件并未联机作深入调查。

 注册表 会添加以下注册表项目注册值:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • Multi Language Support = {3CFF6C67-AA57-11da-A0C5-00E04D001D1B}

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}]
   • @ = Multi Language Support

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}\InProcServer32]
   • @ = %SYSDIR%\Mls32.dll
   • ThreadingModel=Apartment

 IRC 为了提供系统信息和远程控制,它会连接到以下 IRC 服务器:

服务器: darkvt.rr.**********
端口: 4669
服务器密码: USA|%操作系统%|%随机字符串%
通道: #xmain
密码: Normal

服务器: darkvt.dynu.**********
端口: 4669
服务器密码: USA|%操作系统%|%随机字符串%
通道: #Nightwish
密码: Sadness



– 此恶意软件能够搜集并发送类似如下信息:
    • 缓存密码
    • 截取屏幕图像
    • 恶意软件运行时间
    • 运行中进程的信息
    • Windows 操作系统信息


– 而且,它能够进行此般操作:
    • 连接到 IRC 服务器
    • 与 IRC 服务器断开连接
    • 下载文件
    • 执行文件
    • 加入 IRC 通道
    • 结束进程
    • 离开 IRC 通道
    • 打开远程 Shell
    • 执行 DDoS 攻击
    • 重新引导系统
    • 关闭系统
    • 自行更新

 其他  通过访问以下网站来检查 Internet 连接:
   • http://www.cnn.com

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • PECompact

설명 삽입자 Andrei Gherman   2006년 3월 17일 금요일
설명 업데이트 Andrei Gherman   2006년 3월 17일 금요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.