|
W32/Bifrose.G, Troj/Bifrose.G
Bifrose.G es un destructivo troyano/backdoor reportado el 09 de Noviembre del 2006 que se propaga vía diversos servicios de Internet y abre un backdoor a través de puertos TCP aleatorios.Ejecuta un Keylogger y captura teclas digitadas y substrae información del sistema.
Se conecta vía el Internet Explorer a diversos sitios web, a los cuales enviará la información extraída y desde donde podrá ejecutar comandos arbitrarios en forma remota.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual C++ con una extensión promedio de 92 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Al ser activado se copia a la carpeta %System% con los nombres:
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed
Components\{44BBA844-CC51-11CF-AAFA-00AA00B6017B}]
"StubPath" = "%System%\inetinfoere.exe s"
"Version" = "1.1.03"
"Locale" = "*"
"ComponentID" = "Microsoft ActiveX Support"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A5CDF7EC-751B-46aa-AD69-4005FE080DE8}]
"stubpath" = "%System%\dllsvc.exe s"
crea las siguientes sub-llaves de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\OE]
[HKEY_LOCAL_MACHINE\SOFTWARE\SKav]
[HKEY_CURRENT_USER\Software\OE]
[HKEY_CURRENT_USER\Software\SKav]
Al siguiente inicio ejecuta su componente Keylogger que captura teclas digitadas, abre un Backdoor a través del Internet Explorer y se conecta a uno de los siguientes sitios en la web:
a donde enviará la información substraída del sistema, incluyendo teclas digitadas y pudiendo ejecutar en forma remota comandos arbitrarios.
PER ANTIVIRUS® versión 9.9 con registro de virus al 09 de Noviembre del 2006 detecta y elimina eficientemente este troyano/backdoor.
