Bifrose.E

BIFROSE.E destructivo troyano/backdoor ingresa vía puerto TCP roba información la envía a servidor remoto, etc.

W32/Bifrose.E, Troj/Bifrose.E

Bifrose.E es un destructivo troyano/backdoor reportado el 28 de Febrero del 2006 que se propaga vía el Internet Explorer, a través del puerto TCP 1863 (MSNP) que es un protocolo no oficial del MSN y una vez ingresado a un sistema, substrae información y digitación de teclas y la envía a un servidor remoto.

Captura y roba las claves de populares juegos de PC. Intenta conectarse a un servidor de Taiwan.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual C++ con una extensión promedio de 92 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser activado se copia indistintamente a las siguientes rutas y con los nombres:

%UserProfile%\Local Settings\pligde.exe
C:\pligde.exe

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartKey" = "[ruta_al_troyano]\pligde.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{A5CDF7EC-751B-46aa-AD69-4005FE080DE8}]
"stubpath" = "[ruta_al_troyano]\pligde.exe"

crea una nueva instancia del Internet Explorer y se auto-inserta a este proceso, de modo que las acciones sub-secuentes que el troyano ejecute se mostrarán reflejadas por este proceso. Crea las siguientes sub-llaves parapara controlar y almacenar la información capturada: [HKEY_CURRENT_USER\SOFTWARE\SKav] [HKEY_LOCAL_MACHINE\SOFTWARE\SKav]

Al siguiente inicio del sistema abre un Backdoor a través del Internet Explorer usando el puerto TCP 1863 (MSNP), para conectarse al servidor:

210.71.186.43 (CHTD, Chunghwa Telecom Co., Ltd. Taipe, Taiwan)

lo cual permitirá al atacante remoto enviar y ejecutar comandos ocultos que le permitirán ejecutar acciones de diversa índole, normalmente no autorizadas.

Luego roba las claves de los siguientes juegos de PC:

Hidden & Dangerous 2
Chrome
NOX
Command and Conquer: Red Alert 2
Command and Conquer: Red Alert
Command and Conquer: Tiberian Sun
Rainbow Six III RavenShield
Nascar Racing 2003
Nascar Racing 2002
NHL 2003
NHL 2002
FIFA 2003
FIFA 2002
Shogun: Total War: Warlord Edition
Need For Speed: Underground
Need For Speed Hot Pursuit 2
Medal of Honor: Allied Assault: Spearhead
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault
Global Operations
Command and Conquer: Generals
James Bond 007: Nightfire
Command & Conquer: Generals Zero Hour
Black and White
Battlefield Vietnam
Battlefield 1942: Secret Weapons of WWII
Battlefield 1942: Road To Rome
Battlefield 1942
Freedom Force
IGI 2: Covert Strike
Unreal Tournament 2004
Unreal Tournament 2003
Soldiers Of Anarchy
Legends of Might and Magic
Industry Giant 2
Half-Life
Gunman Chronicles
The Gladiators
Counter-Strike (Retail version)

Captura la digitación de teclas y roba la siguiente información:

Nombre de usuario y contraseña de la mensajería instantánea ICQ
Contraseñas protegidas almacenadas
Contraseñas en la memoria cache
Sitios web visitados

la información substraída es almacenada en la ruta y archivo:

%UserProfile%\Local Settings%\SysPr.prx

finalmente envía esta información a un servidor remoto cuyo nombre se encuentra cifrado dentro del código del troyano.

Aleatoriamente intenta acceder a la siguiente dirección de Taiwán:

taipei2002.9966.org

PER ANTIVIRUS® versión 9.6 con registro de virus al 28 de Febrero del 2006 detecta y elimina eficientemente este troyano/backdoor.