Troj/Backdoor/Bifrose.J

Puede difundirse por otros servicios de Internet. 

Inserta su código en el archivo iexplorer.exe y ejecuta el Internet Explorer en modo "oculto" para poder evadir cualquier firewall que estuviese instalado en el sistema. 

Al suplantar al archivo scvhost.exe que es un legítimo archivo de Windows, podrá controlar o alterar la ejecución de procesos y servicios.

Infecta Windows 95/98/Me/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una extensión de 1MB 208KB y solo está compilado.

Al ser activado se copia a las siguientes rutas, con los nombres:

• %System%\scvhost.exe
• %UserProfile%\addon.dat
• %System%\svc.dat

Crea también las sub-llaves: 

[HKEY_LOCAL_MACHINE\SOFTWARE\hostsvc]
[HKEY_CURRENT_USER\Software\hostsvc]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

Al siguiente inicio del equipo el troyano inserta su código en el iexplorer.exe y ejecuta el Internet Explorer en modo "oculto" para poder evadir cualquier firewall instalado en el sistema.

Como Backdoor se conecta a través de un puerto TCP 2000 al dominio bf2hacks.myftp.org y desde donde podrá ejecutar comandos remotos en forma arbitraria, descargar y subir archivos que contengan información confidencial, etc. 

NOTA: el scvhost.exe es un legítimo archivo del sistema operativo Windows que controla y distribuye la ejecución de servicios y procesos de las librerias .DLL

PER ANTIVIRUS® versión 10.0 con registro de virus al 26 de Febrero del 2007 detecta y elimina este troyano/backdoor.