¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/Agent.58368.3
Descubierto:30/08/2012
Tipo:Servidor Backdoor
En circulacin (ITW):No
Nmero de infecciones comunicadas:Alto
Potencial de propagacin:Bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:58.368 Bytes
Suma de control MD5:3CCFB3CA8C0AAAA4E93856BC79570106
Versin del VDF:7.11.41.90 - jueves 30 de agosto de 2012
Versin del IVDF:7.11.41.90 - jueves 30 de agosto de 2012

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
     Microsoft: Win32/Gamarue.I


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Suelta copias suyas en el sistema, escogiendo un nombre de fichero de unos listados:
Para: C:\Documents and Settings\All Users Empleando uno de los siguientes nombres:
   • svchost.exe

Para: %ALLUSERSPROFILE%\Local Settings\Temp Empleando uno de los siguientes nombres:
   • %serie de caracteres aleatorios%.bat
   • %serie de caracteres aleatorios%.pif
   • %serie de caracteres aleatorios%.scr
   • %serie de caracteres aleatorios%.com


 Registro Aade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nmero%"="%ALLUSERSPROFILE%\Local Settings\Temp\%serie de caracteres aleatorios%.pif"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nmero%"="%ALLUSERSPROFILE%\Local Settings\Temp\%serie de caracteres aleatorios%.bat"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nmero%"="%ALLUSERSPROFILE%\Local Settings\Temp\%serie de caracteres aleatorios%.scr"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nmero%"="%ALLUSERSPROFILE%\Local Settings\Temp\%serie de caracteres aleatorios%.com"

 Correo electrnico No incluye rutina de propagacin propia, pero se ha difundido por correo electrnico. Las caractersticas estn descritas a continuacin:


De:
La direccin del remitente es falsa.
El remitente del mensaje de correo es el siguiente:
   • notification+aaic-mm-nir_@facebookmail.com


Asunto:
El siguiente:
   • Your friend wants to share photos and updates with you



El cuerpo del mensaje:
– Contiene cdigo HTML.
El cuerpo del mensaje es el siguiente:

   • One of your friends wants to share photos and updates with you.
     
     One of your friends has invited you to Facebook. After you sign up, you'll be able to stay connected with friends by sharing photos and videos, posting status updates, sending messages and more.


Archivo adjunto:
El nombre del fichero adjunto es:
   • Your_Friend_New_photos-updates_id%nmero%.zip

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve as:


 Backdoor (Puerta trasera) Abre el siguiente puerto:

%ALLUSERSPROFILE%\svchost.exe en el puerto TCP 8000 para crear un comando remote shell.


Servidor contactado:
La siguiente:
   • http://stripe**********image.php

Una vez contectado, extraer una lista suplementaria.
De esta forma, puede enviar informaciones y obtener el control remoto.

Enva informaciones acerca de:
     Estado actual del programa viral
     Nombre de usuario

 Inyectar el cdigo viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • %SYSDIR%\wuauclt.exe


 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Codificacin:
Codificado: el cdigo del virus dentro del archivo est codificado.

Descripción insertada por Ana Maria Niculescu el jueves 30 de agosto de 2012
Descripción actualizada por Andrei Gherman el jueves 30 de agosto de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.