Имя:BDS/Jtram.E
Обнаружен:08/12/2005
Вид:Backdoor сервер
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:62.464 байт.
Контрольная сумма MD5:46E5CBF6377AE68557243414A28F7F11
Версия VDF:6.32.01.09

 Файлы Создается собственная копия:
   • %SYSDIR%\mfm\msrll.exe



Создается файл:

– Незараженный файл:
   • %SYSDIR%\mfm\jtrma.conf

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm]
   • "Type"=dword:00000120
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000002
   • "ImagePath"="%SYSDIR%\mfm\msrll.exe"
   • "DisplayName"="Rll enhanced drive"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\mfm\Security]
   • "Security"=%шестнадцатиричное значение%

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: stolen.zxy0.com
Порт: 6667
Канал: #stolen
Имя: %случайная буквенная комбинация%


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Начать DDoS ICMP атаку
    • Начать DDoS SYN атаку
    • Запускается DDoS UDP атака
    • разорвать соединение с IRC сервером
    • Запустить файл
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC
    • Перезапустить систему
    • Обновляется самостоятельно

 Backdoor Открывается порт:

%SYSDIR%\mfm\msrll.exe по TCP порту 3000 для обеспечения backdoor функции.

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • ASPack

Описание добавил Andrei Gherman в(о) пятница, 9 декабря 2005 г.
Описание обновил Oliver Auerbach в(о) пятница, 9 декабря 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.