¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/Poison.bhtb
Tipo:Servidor Backdoor
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:141.974 Bytes
Suma de control MD5:0533106debc8926d7d927b93255ae66f

 General Métodos de propagación:
   • Función de autoejecución
   • Messenger
   • Peer to Peer


Alias:
   •  Sophos: Mal/Generic-A
   •  Panda: W32/P2Pworm.HK
   •  Eset: Win32/AutoRun.IRCBot.CX
   •  Bitdefender: Backdoor.Generic.288840


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • \wdisvcwks.exe
   • %WINDIR%\wdisvcwks.exe



Crea el siguiente fichero:

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • netsh firewall add allowedprogram wdisvcwks.exe 1 ENABLE


– Ejecuta uno de los ficheros siguientes:
   • "%WINDIR%\wdisvcwks.exe"

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Wks "="wdisvcwks.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Wks "="wdisvcwks.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ficheros ejecutados%"="%ficheros
      ejecutados%
:*:Enabled:Wks "

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:   Busca directorios que contengan una de las siguientes subseries de caracteres:
   • winmx\shared\
   • tesla\files\
   • limewire\shared\
   • morpheus\my shared folder\
   • emule\incoming\
   • edonkey2000\incoming\
   • bearshare\shared\
   • grokster\my grokster\
   • icq\shared folder\
   • kazaa lite k++\my shared folder\
   • kazaa lite\my shared folder\
   • kazaa\my shared folder\

   Al tener éxito, crea los siguientes ficheros:
   • Windows7 keymaker.exe
   • Windows Vista maker.exe
   • Windows Xp SP3 Keygen.exe
   • Msn Messenger.exe
   • Live Messenger.exe
   • Itunes.exe
   • Realplayer.exe
   • Sony Vegas.exe
   • Hack Hotmail.exe


 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger
– MSN Messenger

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infección volverá a iniciarse.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: mx.rvs**********.com
Puerto: 7665
Canal: #Prison-Break2#
Apodo: [CUP|USA|00|P|%número%]

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el miércoles, 9 de junio de 2010
Descripción actualizada por Petre Galan el miércoles, 9 de junio de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.