Bifrose

BIFROSE destructivo troyano/backdoor vía puerto TCP roba información controla remotamente, etc.

W32/Troj.Bifrose, Backdoor/Bifrose

Bifrose es un destructivo troyano/backdoor reportado el 13 de Octubre del 2004 que se propaga vía el Internet Explorer, a través del puerto TCP 1971 (NetOp School), que es usado por un sistema de enseñanza a distancia, y una vez ingresado a un sistema, substrae información y la envía al autor del virus.

Actuando como backdoor descarga y ejecuta archivos, permitiendo al atacante tomar control de los sistemas en forma remota, desde algunos sitios en la web ubicados en Korea y Australia.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión promedio de 72 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser activado se copia indistintamente al directorio %Windir% o a la carpeta %System% con el nombre de System.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"system"="%System%\system.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"system"="%Windir%\system.exe"

asimismo agrega los siguientes valores:

"stubpath" = "%System%\system.exe s"
"stubpath" = "%Windir%\system.exe s"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}]

Luego crea los siguientes registros para controlar y almacenar la información capturada:

[HKEY_CURRENT_USER\Software\Wget]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wget]

para terminar generando un archivo encriptado en %System% con el nombre de Plugin1.dat.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente re-inicio el gusano se activa en memoria y actuando como Backdoor a través del Internet Explorer usa el puerto TCP 1971 para conectarse y enviar la información extraída de los sistemas a uno de estas direcciones de la web:

firedragon.no-ip.com (dominio ubicado en Korea con enlaces de testeo)
killvirus2002.serveftp.org (inexistente)
222.65.219.234 (ubicado en Australia, actualmente inactivo)

el atacante además de robar información podrá descargar y ejecutar archivos o comandos en forma remota.

Sus payloads son los siguientes:

Se propaga vía el Internet Explorer haciendo uso del puerto TCP 1971 (NetOp School)

Substrae información de los sistemas infectados y las envía al autor del virus.

La información extraída es enviada a uno de tres sitios en la web, dos de ellos inactivos, siendo el más peligroso el ubicado en Korea.

Actuando como backdoor permitirá al atacante tomar control de los sistemas infectados en forma remota.

PER ANTIVIRUS® versión 8.9 con registro de virus al 13 de Octubre del 2004 detecta y elimina eficientemente este troyano/backdoor.