BKDR_ISMDOOR.B

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. Se conecta a un sitio Web para enviar y recibir información.

Roba determinada información del sistema y/o del usuario.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

• %Application Data%\Microsoft\Windows\Tmp98871
• %Application Data%\Microsoft\Windows\TmpFiles\{random}.txt
• %System%\ddd\wer2.txt
• %Application Data%\Microsoft\Windows\Tmp9932u1.bat
• %Application Data%\Microsoft\Windows\tmp43hh11.txt
• %Application Data%\Microsoft\Windows\Tmpedi98871
• %Application Data%\Microsoft\Windows\Tmpedo98871

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• General
• DownloadFile
• UploadFile
• Done
• ChangeAliveSeconds
• ChangeAddress
• GetSendAliveSeconds
• restart
• remove

Se conecta a los sitios Web siguientes para enviar y recibir información:

• http://{BLOCKED}e.{BLOCKED}updater.com//Home/{url path}
  Where {url path} may be any of the following:
  
  • CC
  • SCV
  • BM
  • AV
  • CR
  • SF?commandId={command}&CmdResult={result}
  • GF?commandId={command}
  • SF?commandId={command}

Robo de información

Roba la siguiente información:

• User Domain
• User Name
• IP Config
• Net View
• Domain of Net User Administrator
• Network Statistics
• System Info
• Task List
• Service List
• Security Information
• Anti Virus Products installed
• Firewall Products installed
• Anti Spyware Products installed