Viernes 15 de Noviembre de 2024, 08:20
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Bufei
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Bufei (Leído 1302 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Bufei
«
en:
Miércoles 20 de Abril de 2005, 19:07 »
0
Datos Técnicos
Peligrosidad: 2 - Baja Difusión: Baja Fecha de Alta:18-04-2005
Última Actualización:18-04-2005
Daño: Alto
[Explicación de los criterios] Dispersibilidad: Bajo
Nombre completo: Virus.W32/Bufei
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 53248
Alias:W32.Bufei (Symantec)
Detalles
Cuando Virus.W32/Bufei es ejecutado, realiza las siguientes acciones:
1. Copia %Windir%\explorer.exe como c:\explorer.exe y lo infecta.
Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows o C:\Winnt.
2. Intenta sustituir el original %Windir%\explorer.exe por la copia infectada.
3. Intenta infectar todos los ficheros PE (Portable Ejecutable) con extensión .exe en las unidades desde la F a la Z.
Nota: Los ejecutables PE son los ficheros ejecutables que funcionan en todos los sistemas operativos de 32 bits de Microsoft. Un buen ejemplo son los protectores de pantalla (.scr).
4. Ejecuta un capturador de pulsaciones de teclado, y almacena toda la información tecleada en %System%\advkey.dll.
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
5. Intenta conectarse a alguna de las siguientes URL por el puerto TCP 8081 cada 3 minutos, para recuperar la dirección del atacante remoto:
* tufei[- dominio_eliminado -]/but.cs
* tufei[- dominio_eliminado -]/but.cs
6. Se conecta a una de las URL antes mencionadas, permitiendo así a un atacante remoto tener control total del equipo infectado.
Solución
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Bufei