SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Miércoles 20 de Abril de 2005, 19:07
-
Datos Técnicos
Peligrosidad: 2 - Baja Difusión: Baja Fecha de Alta:18-04-2005
Última Actualización:18-04-2005
Daño: Alto
[Explicación de los criterios] Dispersibilidad: Bajo
Nombre completo: Virus.W32/Bufei
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 53248
Alias:W32.Bufei (Symantec)
Detalles
Cuando Virus.W32/Bufei es ejecutado, realiza las siguientes acciones:
1. Copia %Windir%\explorer.exe como c:\explorer.exe y lo infecta.
Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows o C:\Winnt.
2. Intenta sustituir el original %Windir%\explorer.exe por la copia infectada.
3. Intenta infectar todos los ficheros PE (Portable Ejecutable) con extensión .exe en las unidades desde la F a la Z.
Nota: Los ejecutables PE son los ficheros ejecutables que funcionan en todos los sistemas operativos de 32 bits de Microsoft. Un buen ejemplo son los protectores de pantalla (.scr).
4. Ejecuta un capturador de pulsaciones de teclado, y almacena toda la información tecleada en %System%\advkey.dll.
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
5. Intenta conectarse a alguna de las siguientes URL por el puerto TCP 8081 cada 3 minutos, para recuperar la dirección del atacante remoto:
* tufei[- dominio_eliminado -]/but.cs
* tufei[- dominio_eliminado -]/but.cs
6. Se conecta a una de las URL antes mencionadas, permitiendo así a un atacante remoto tener control total del equipo infectado.
Solución (http://www.symantec.com/avcenter/venc/data/w32.bufei.html)