| Nombre común: MeteorBot.A
Nombre técnico: Bck/MeteorBot.A
Peligrosidad: Media
Tipo: Backdoor
Efectos: Envía información sobre el ordenador afectado a su autor, como dirección IP, nombre de la máquina o sistema operativo. Llega al ordenador en un archivo con extensión EXE y el icono de Superman.
Plataformas que infecta: Windows 2003/XP/2000/NT
Fecha de detección: 01/09/2008
Detección actualizada: 02/09/2008
Estadísticas No
Descripción Breve
MeteorBot.A es un backdoor que envía información sobre el ordenador afectado a su autor. Entre la información que envía está la dirección IP, nombre de la máquina, sistema operativo...
MeteorBot.A llega al ordenador en un archivo con extensión EXE y el icono de Superman. Sin embargo, no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación
MeteorBot.A realiza las siguientes acciones:
Cuando es ejecutado, muestra la siguiente foto:
Abre un puerto y se conecta a una dirección IP a la que envía información del ordenador afectado, como:
- nombre de la máquina.
- dirección IP.
- sistema operativo.
Metodo de Infección
MeteorBot.A crea los siguientes archivos:
FOTOS.EXE y ZY751UZ.JPG, en la carpeta Extracted, creada por él mismo, del directorio raíz de la unidad C:.
Estos archivos tienen los siguientes iconos:
FOTO.EXE, en la carpeta Foto, creada por él mismo, en el directorio de Windows. Este archivo es una copia de FOTOS.EXE.
MeteorBot.A crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Active Setup\ Installed Components\ {FD7DD491-D1A2-3E68-B399-C41EDA50AD09}
%windir%\foto\foto.exe s
donde %windir% es el directorio de Windows.
Mediante esta entrada, MeteorBot.A consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
MeteorBot.A llega al ordenador en un archivo con el icono de Superman y el nombre ICONOS.EXE:
Sin embargo, MeteorBot.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
MeteorBot.A tiene un tamaño de 1083624 Bytes. Este backdoor está comprimido mediante Themida.
|
|