Bkdr/IRCBot.BGY

IRCBot.BGY troyano/backdoor de malwares y HTTP abre puertos TCP ejecuta comandos arbitarios en forma remota.

Bkdr/IRCBot.BGY

IRCBot.BGY es un troyano/backdoor residente en memoria, reportado el 17 de Junio del 2008, que se propaga a través de otros malwares o visitando páginas web maliciosamente acondicionadas.

Abre puertos TCP aleatorios, se conecta a un servidor HTTP y ejecuta comandos arbitrarios en forma remota.

Infecta a Windows 98/NT/2000/XP y Server 2003, está desarrollado en Assembler con una extensión de 28,955 Bytes.

Una vez ingresado al sistema se copia a:

%Windir%\wksvcsc.exe

Para activarse cada vez que se re-inicie el sistema, crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows UDP Control Services" = "%Windir%\wksvcsc.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del equipo muestra la siguiente falsa caja de diálogo:

Luego su componente Backdoor abre un puerto aleatorio que se encuentre abierto y se conecta a un servidor HTTP desde el cual el autor podrá ejecutar, entre otras, las siguientes acciones arbitrarias:

Descargar o extraer y subir archivos
Ejecutar comandos arbitrarios
Ejecutar o terminar procesos o hilos.
Removerse a sí mismo
Actualizarse a sí mismo

PER ANTIVIRUS® versión X5 con registro de virus al 17 de Junio del 2008 detecta y elimina este troyano/backdoor.