¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/Agent.58368.3
Descubierto:30/08/2012
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Alto
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:58.368 Bytes
Suma de control MD5:3CCFB3CA8C0AAAA4E93856BC79570106
Versión del VDF:7.11.41.90 - jueves, 30 de agosto de 2012
Versión del IVDF:7.11.41.90 - jueves, 30 de agosto de 2012

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Microsoft: Win32/Gamarue.I


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Suelta copias suyas en el sistema, escogiendo un nombre de fichero de unos listados:
– Para: C:\Documents and Settings\All Users Empleando uno de los siguientes nombres:
   • svchost.exe

– Para: %ALLUSERSPROFILE%\Local Settings\Temp Empleando uno de los siguientes nombres:
   • %serie de caracteres aleatorios%.bat
   • %serie de caracteres aleatorios%.pif
   • %serie de caracteres aleatorios%.scr
   • %serie de caracteres aleatorios%.com


 Registro Añade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%número%"="%ALLUSERSPROFILE%\Local Settings\Temp\%serie de caracteres aleatorios%.pif"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%número%"="%ALLUSERSPROFILE%\Local Settings\Temp\%serie de caracteres aleatorios%.bat"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%número%"="%ALLUSERSPROFILE%\Local Settings\Temp\%serie de caracteres aleatorios%.scr"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%número%"="%ALLUSERSPROFILE%\Local Settings\Temp\%serie de caracteres aleatorios%.com"

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.
El remitente del mensaje de correo es el siguiente:
   • notification+aaic-mm-nir_@facebookmail.com


Asunto:
El siguiente:
   • Your friend wants to share photos and updates with you



El cuerpo del mensaje:
– Contiene código HTML.
El cuerpo del mensaje es el siguiente:

   • One of your friends wants to share photos and updates with you.
     
     One of your friends has invited you to Facebook. After you sign up, you'll be able to stay connected with friends by sharing photos and videos, posting status updates, sending messages and more.


Archivo adjunto:
El nombre del fichero adjunto es:
   • Your_Friend_New_photos-updates_id%número%.zip

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve así:


 Backdoor (Puerta trasera) Abre el siguiente puerto:

– %ALLUSERSPROFILE%\svchost.exe en el puerto TCP 8000 para crear un comando remote shell.


Servidor contactado:
La siguiente:
   • http://stripe**********image.php

Una vez contectado, extraerá una lista suplementaria.
De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • Estado actual del programa viral
    • Nombre de usuario

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • %SYSDIR%\wuauclt.exe


 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Codificación:
Codificado: el código del virus dentro del archivo está codificado.

Descripción insertada por Ana Maria Niculescu el jueves, 30 de agosto de 2012
Descripción actualizada por Andrei Gherman el jueves, 30 de agosto de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.