VírusBDS/Jtram.E
Data em que surgiu:08/12/2005
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:62.464 Bytes
MD5 checksum:46E5CBF6377AE68557243414A28F7F11
Versão VDF:6.32.01.09

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\mfm\msrll.exe



É criado o seguinte ficheiro:

– Ficheiro não malicioso:
   • %SYSDIR%\mfm\jtrma.conf

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm]
   • "Type"=dword:00000120
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000002
   • "ImagePath"="%SYSDIR%\mfm\msrll.exe"
   • "DisplayName"="Rll enhanced drive"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm\Security]
   • "Security"=%valores hex%

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: stolen.zxy0.com
Porta: 6667
Canal #stolen
Nickname: %uma série de caracteres aleatórios%


– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS ICMP floods
    • Lança DDoS SYN floods
    • Lança DDoS UDP floods
    • Desliga-se do servidor de IRC
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Reinicia
    • Actualiza-se a ele próprio

 Backdoor É aberta a seguinte porta:

%SYSDIR%\mfm\msrll.exe numa porta TCP 3000 Por forma a fornecer capacidades backdoor.

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • ASPack

Descrição enviada por Andrei Gherman em sexta-feira, 9 de dezembro de 2005
Descrição atualizada por Oliver Auerbach em sexta-feira, 9 de dezembro de 2005

Voltar . . . .