Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:BDS/BodomBot.K
Обнаружен:13/03/2006
Вид:Backdoor сервер
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:43.520 байт.
Контрольная сумма MD5:5c06b1746e3114c46f509ed405bbe6dd
Версия VDF:6.34.00.36

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.BodomBot.k
   •  TrendMicro: BKDR_BODOMBOT.AB


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файл
   • Создает потенциально опасный файл
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается файл:

%SYSDIR%\Mls32.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/BodomBot.K.1




Попытка загрузки следующего файла:

– Следующий URL:
   • http://www.geocities.com/alexl6z/**********
Сохраняется локально в: %TEMPDIR%\30_7.exe Данный файл запускается на выполнение после его полной загрузки. На момент проверки данный файл не был доступен.

 Реестр Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • Multi Language Support = {3CFF6C67-AA57-11da-A0C5-00E04D001D1B}

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}]
   • @ = Multi Language Support

– [HKCR\CLSID\{3CFF6C67-AA57-11da-A0C5-00E04D001D1B}\InProcServer32]
   • @ = %SYSDIR%\Mls32.dll
   • ThreadingModel=Apartment

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: darkvt.rr.**********
Порт: 4669
Пароль сервера: USA|%Операционная система%|%случайная буквенная комбинация%
Канал: #xmain
Пароль: Normal

Сервер: darkvt.dynu.**********
Порт: 4669
Пароль сервера: USA|%Операционная система%|%случайная буквенная комбинация%
Канал: #Nightwish
Пароль: Sadness



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Кэшированные пароли
    • Сохранение содержимого экрана
    • Время жизни вредоносной программы
    • Информация о запущенных процессах
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • разорвать соединение с IRC сервером
    • Загрузить файл
    • Запустить файл
    • Войти в чат-комнату IRC
    • Остановить процесс
    • Покинуть чат-комнату IRC
    • Открытие удаленного интерфейса
    • Произвести DDoS атаку
    • Перезапустить систему
    • Завершить работу системы
    • Обновляется самостоятельно

 Разное  Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
   • http://www.cnn.com

 Данные файла Язык программирования:
Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • PECompact

Описание добавил Andrei Gherman в(о) пятница, 17 марта 2006 г.
Описание обновил Andrei Gherman в(о) пятница, 17 марта 2006 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.