Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:BDS/Floder.mt
Обнаружен:20/06/2011
Вид:Backdoor сервер
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Размер файла:152.064 байт.
Контрольная сумма MD5:2C172284DD0CD1D31C7F7C93E95C727C
Версия VDF:7.11.10.37 - понедельник, 20 июня 2011 г.
Версия IVDF:7.11.10.37 - понедельник, 20 июня 2011 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: W32.Pilleuz
   •  TrendMicro: TROJ_SPNR.02FS11
   •  Microsoft: Worm:Win32/Dorkbot.I


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Последствия:
   • Позволяет несанкционированно подключиться к компьютеру
   • Создает файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %APPDATA%\%случайная буквенная комбинация%.exe



Выполненная копия программы удаляется.

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%случайная буквенная комбинация%"="%APPDATA%\%случайная буквенная комбинация%.exe"



Добавляется следующий ключ реестра:

– [HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000000



Изменяется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Новое значение:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: **********.yourwebfind.com
Порт: 5101
Пароль сервера: hax0r

Сервер: **********.drwhox.com
Порт: 5101
Пароль сервера: hax0r

Сервер: **********.babypin.net
Порт: 5101
Пароль сервера: hax0r

Сервер: **********.beecitysearch.com
Порт: 5101
Пароль сервера: hax0r

Сервер: **********.mdmads.com
Порт: 5101
Пароль сервера: hax0r



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Текущий пользователь
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC
    • Произвести DDoS атаку

 Инфицирование – Включает себя в процессы в качестве удаленного потока.

    Все следующие процессы:
   • explorer.exe
   • svchost.exe
   • winlogon.exe


 Разное Доступ к интернет-ресурсам:
   • http://api.wipmania.com


Строка:
Здесь содержится следующая последовательность:
   • IsDebuggerPresent

 Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Описание добавил Andrei Ilie в(о) понедельник, 8 августа 2011 г.
Описание обновил Andrei Ilie в(о) понедельник, 8 августа 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.