¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/Cycbot.B.735
Descubierto:26/11/2010
Tipo:Servidor Backdoor
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio
Tamao:190.976 Bytes
Suma de control MD5:035D0EAC0267B776C68157A9F5E06F33
Versin del VDF:7.10.06.152
Versin del IVDF:7.10.14.113 - viernes 26 de noviembre de 2010

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Kaspersky: Backdoor.Win32.Gbot.hgd
   •  TrendMicro: BKDR_CYCBOT.SMIB
     Microsoft: Backdoor:Win32/Cycbot.B


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %TEMPDIR%\csrss.exe



Modifica el siguiente archivo:
   • %APPDATA%\Mozilla\Firefox\Profiles\f81lb9un.default\prefs.js
Como resultado, se desactivan varios mecanismos de seguridad.



Crea el siguiente fichero:

%APPDATA%\A896.542 Contiene parmetros empleados por el programa malicioso.

 Registro Aade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

  [HCKU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%TEMPDIR%\csrss.exe"



Aade la siguiente clave al registro:

[HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000001



Modifica la siguiente clave del registro:

Reduce las opciones de seguridad de Internet Explorer:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:%nmero%"

 Finalizacin de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • Avast
   • Avira
   • Dr.Web
   • Kaspersky
   • McAfee
   • ESET NOD32
   • Norton
   • BitDefender


 Backdoor (Puerta trasera) Abre los siguientes puertos:

%ficheros ejecutados% en un puerto TCP aleatorio para funcionar como servidor proxy.
%ficheros ejecutados% en un puerto TCP aleatorio para proporcionar capabilidades de backdoor.

 Robo de informaciones  Inicia una rutina de creacin de ficheros log despus de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • .2mdn.; .abmr.; .adtechus.; .aol.; .atdmt.; .atwola.;
      .autodatadirect.; .bing.net; .dartsearch.; .doubleclick.; .ggpht.;
      .google; .ivwbox.; .mapquestapi.; .microsoft.; .opera.; .tacoda.;
      .thawte.; .tlowdb.; .truveo.; .virtualearth.; .wsod.; .yimg.com;
      .ypcdn.; amazon.; aol/search; aolcdn.; aolsvc.; bing.com;
      bing.com/search; blogger; brightcove.com; doubleclick.; ebay.; err069;
      facebook.; flickr; google-analytics.; google.; googlesyndication.;
      googleusercontent.; gstatic.; imdb.; mapq.st; scorecardresearch.com;
      search.aol.; search.yahoo.com/search; searcht2.aol.; start=; start=0;
      suche.aol.; twitter.; wikimedia.; wikipedia.; yahoo.; yahoo.com;
      youtube.; ytimg.
     Trfico en Internet

 Informaciones diversas Accede a recursos de Internet:
   • http://bigbadhead.**********/blog/images/%nmero%.jpg;
      http://crazyleafdesign.**********/blog/images/share/facebook.png;
      http://crazyleafdesign.**********/blog/images/share/stumble.png;
      http://ddossecureonline.**********/blog/images/%nmero%.jpg;
      http://folusho.**********/wp-content/uploads/2010/09/web-20-what-is-300x251.jpg;
      http://freeservermonitorings.**********/blog/images/%nmero%.jpg;
      http://freewhoisdb.**********/blog/images/%nmero%.jpg;
      http://fxsystemsone.**********/blog/images/%nmero%.jpg;
      http://gravatar.**********/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be1;
      http://gravatar.**********/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be2;
      http://greenherbalteaonline.**********/images/greenherbalteagirlholdingcup250.gif;
      http://healthylifenow.**********/templates/7348/images/header_logo.jpg;
      http://healthylifenow.**********/templates/7349/images/header_logo.jpg;
      http://hlamidioz.**********/blog/images/%nmero%.jpg;
      http://hollandandbarrett.**********/images/footer/account.gif;
      http://hollandandbarrett.**********/images/footer/account.jpg;
      http://itshopsonline.**********/blog/images/%nmero%.jpg;
      http://japanesegreenteaonline.**********/assets/images/greentea-cha-1.gif;
      http://japanesegreenteaonline.**********/assets/images/greentea-cha-2.gif;
      http://killprocessoffline.**********/blog/images/%nmero%.jpg;
      http://laporoskopia.**********/blog/images/%nmero%.jpg;
      http://myonlinefreelibrarry.**********/blog/images/%nmero%.jpg;
      http://nationsautoelectric.**********/images/50-217-1_F_1_.jpg;
      http://nationsautoelectric.**********/images/50-217-1_F_2_.jpg;
      http://onlinebizdirectory.**********/images/PowerHideBanner.gif;
      http://onlinebizdirectory.**********/images/PowerShowBanner.gif;
      http://psfk.**********/img/icons/facebook.png;
      http://psfk.**********/img/icons/twitter.png;
      http://realsoftwaredevelopment.**********/WindowsLiveWriter/web-2_0_thumb_1.gif;
      http://repairshampoo.**********/blog/images/%nmero%.jpg;
      http://sambukaclubonline.**********/blog/images/%nmero%.jpg;
      http://securityshllsonline.**********/blog/images/%nmero%.jpg;
      http://sslprogrammingshool.**********/blog/images/%nmero%.jpg;
      http://lostpropaganda.**********/blog/pics/3321.jpg;
      http://lostpropaganda.**********/blog/pics/3322.jpg;
      http://monochrom.**********/polytheism/pictures/TanzenderShiva.jpg

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Andrei Ilie el lunes 1 de agosto de 2011
Descripción actualizada por Andrei Ilie el jueves 4 de agosto de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.