|
Troj/Bkdr.Bifrose.L
Bifrose.L es un troyano/backdoor residente en memoria reportado el 13 de Junio del 2008, que se propaga a través de servidores remotos haciendo uso del puerto TCP 8080 (HTTP) y del IRC (Internet Chat Relay).Se ejecuta contínuamente en segundo plano (background) y su componente Backdoor permite que los intrusos tomen control en forma remota de los sistemas infectados vía canales de Chat.
Infecta a Windows 95/98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Una vez ingresado al sistema se copia a la carpeta %System% con los nombres:
para activarse cada vez que se re-inicie el sistema, crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"waults" = "%System%\waults.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"netview" = "%System%\netview.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo el troyano genera las siguientes sub-llaves:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{A5CDF7EC-751B-46aa-AD69-4005FE080DE8}]
"stubpath" = "%System%\netview.exe s"
[HKEY_LOCAL_MACHINE\SOFTWARE\SKav\nck]
Una vez activado inserta su código en el proceso de Internet
Explorer y en forma
periódicamente intenta conectarse a las siguientes direcciones de un sitio web
ubicado en Beijing, China:
http://ginzz.3322.org
http://tyosyozz.3322.org
http://takahashi.3322.org
Abre un Backdoor que
se conecta a determinados canales de Chat
desde los cuales los intrusos podrán ejecutar las siguientes acciones:
PER ANTIVIRUS® versión X5 con registro de virus al 13 de Junio del 2008 detecta y elimina este troyano/backdoor.
