¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/Cycbot.BP
Descubierto:12/07/2011
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:188.928 Bytes
Suma de control MD5:29264048c8ff1f81fa76275f49098526
Versión del VDF:7.11.11.93 - martes, 12 de julio de 2011
Versión del IVDF:7.11.11.93 - martes, 12 de julio de 2011

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Backdoor.Win32.Gbot.mej
   •  Sophos: Troj/FakeAV-EFL
   •  Bitdefender: Gen:Variant.Kazy.30647
   •  Eset: Win32/Kryptik.QGL
   •  DrWeb: Trojan.DownLoader4.11080


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Descarga ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %TEMPDIR%\csrss.exe



Elimina la copia inicial del virus.



Elimina los siguientes ficheros:
   • %TEMPDIR%\41.exe
   • %TEMPDIR%\42.exe



Crea los siguientes ficheros:

– %HOME%\Application Data\ADC6.442
%TEMPDIR%\41.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Cycbot.BP

– %HOME%\Application Data\Microsoft\conhost.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Cycbot.BP

%TEMPDIR%\42.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Cycbot.BP

– %HOME%\Application Data\dwm.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Cycbot.BP

– %HOME%\Application Data\Microsoft\gb_12797937.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "Load"="C:\DOCUME~1\\KARZEM~1\\LOCALS~1\\Temp\\csrss.exe"

 Backdoor (Puerta trasera) Abre el siguiente puerto:
en el puerto TCP 1192 para proporcionar capabilidades de backdoor.

 Informaciones diversas Accede a recursos de Internet:
   • http://hollan**********rett.com/images/footer/account.jpg?v20=**********F4%3D;
      http://super**********srem.com/blog/images/3521.jpg?v92=**********WW1cg;
      http://onlinedating**********friends.com/images/im133.jpg?v95=**********3D%3D;
      http://mysmall**********space.com/blog/images/3521.jpg?v88=**********WW1cg;
      http://nations**********electric.com/images/50-217-1_F_1_.jpg?v81=**********w%3D;
      http://mysmall**********space.com/blog/images/3521.jpg?v22=**********3D%3D;
      http://xp**********stats.com/images/logo.png?tq=**********jg%3D;
      http://super**********srem.com/blog/images/3521.jpg?v67=**********3D%3D;
      http://super**********srem.com/blog/images/3521.jpg?tq=**********WQ%3D

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Jason Soo el jueves, 14 de julio de 2011
Descripción actualizada por Jason Soo el jueves, 14 de julio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.