W32/Bmbot@mm, Troj/Bmbot, I-worm.bmbot@mm

Bmbot es un gusano/troyano/backdoor reportado el 15 de Febrero del 2003, de propagación masiva vía mensajes de correo, con un archivo anexado de nombre BlueMountaineCard.pif, que simula contener una tarjeta de saludo e invita al usuario receptor a conectarse a un sitio web real.

Libera un componente Backdoor que permite a un hacker, controlar el sistema vía Chat. 

El gusano se conecta a servidores IRC (Internet Chat Relay) y desde los cuales recibirá instrucciones o comandos del hacker que posea el Backdoor Cliente: 

Tiene una extensión de 12.8 KB e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP.

Al ejecutar el archivo anexado, se auto-copia a la carpeta %System% con el nombre de winupdate.exe y para activarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Microsoft auto update = "C:\%System%\winupdate.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Para controlar las conexiones a Internet o a redes, incluyendo el Backdoor Servidor, por medio del Winsock32.dll, agrega un sinnúmero de valores a la llave de registro:

[HKEY_LOCAL_MACHINE\WINSOCK_32]

Finalmente muestra el el siguiente falso mensaje de error y desaparece:

Sus payloads son los siguientes: