| Nombre común: IRCbot.BJR
Nombre técnico: Bck/IRCbot.BJR
Peligrosidad: Media
Tipo: Backdoor
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 17/11/2007
Detección actualizada: 17/11/2007
¿Está en circulación? Si
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
IRCbot.BJR es un backdoor que permite a los hackers acceder de manera remota al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
Captura determinada información introducida o guardada por el usuario, con el consiguiente peligro para su confidencialidad: contraseñas guardadas por algunos servicios de Windows.
Envía la información que ha conseguido recoger a un usuario remoto, a través de cualquier vía: correo electrónico, FTP, etc.
Reduce el nivel de seguridad del ordenador: permanece a la escucha de puertos ya abiertos para poder controlar remotamente el ordenador; permanece a la espera de órdenes de control remoto, recibidas a través de IRC o HTTP.
Emplea diversas técnicas con objeto de dificultar su análisis por parte de compañías antivirus:
Finaliza su propia ejecución si detecta que está siendo ejecutado en un entorno de máquina virtual, como por ejemplo VMWare o VirtualPC.
Efectos
IRCbot.BJR permite acceder de manera remota al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
Dificulta su análisis por parte de compañías antivirus mediante las siguientes técnicas:
Finalizando su propia ejecución si detecta que está siendo ejecutado en un entorno de máquina virtual, como por ejemplo VMWare o VirtualPC.
Captura determinada información introducida o guardada por el usuario, con el consiguiente peligro para su confidencialidad:
Contraseñas guardadas por algunos servicios de Windows.
Posteriormente, envía la información que ha conseguido recoger a un usuario remoto, a través de cualquier vía: correo electrónico, FTP, etc.
Reduce el nivel de seguridad del ordenador:
Permanece a la escucha de puertos ya abiertos para poder controlar remotamente el ordenador.
Permanece a la espera de órdenes de control remoto, recibidas a través de IRC y HTTP.
Método de Propagación
Propagación a través de IRC:
IRCbot.BJR realiza el siguiente proceso:
Espera hasta que el usuario se conecta a un canal de chat IRC.
Envía una copia de sí mismo a todos los usuarios que se encuentren conectados al canal en ese momento.
Propagación a través de recursos compartidos de red:
IRCbot.BJR comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, intenta propagarse a las unidades de red compartidas.
Para ello, intenta ganar acceso a dichas unidades compartidas, empleando contraseñas que son típicas o fáciles de adivinar.
Otros Detalles
IRCbot.BJR tiene las siguientes características adicionales:
Tiene un tamaño de 49664 Bytes.
|
|
