Virus informático (Bifrost)

Bifrost es un backdoor caballo de Troya de la familia de más de 10 variantes que pueden infectar a Windows 95 hasta Windows 7 Bifrost utiliza el servidor típico, constructor del servidor, y la configuración del programa de puerta trasera cliente para permitir a un atacante remoto, que usa el cliente, para ejecutar código arbitrario en el sistema afectado (que se ejecuta el servidor cuyo comportamiento puede ser controlado por el editor del servidor).

El componente de servidor (29053 bytes ) se redujo a C: \ Archivos de programa \ Bifrost \ server.exe con la configuración predeterminada y, cuando se ejecuta, se conecta a una predefinida dirección IP en TCP puerto 81, a la espera de órdenes del usuario remoto que utiliza el cliente componente. Se puede suponer que una vez que los tres componentes son operacionales, el usuario remoto puede ejecutar código arbitrario a voluntad en el sistema afectado. Los componentes de servidor también pueden ser dejados en C: atributos de archivo \ Windows y cambiar a "Sólo lectura" y "oculto". Los usuarios ocasionales pueden no ver los directorios por defecto debido a los atributos de "oculto" que figuran en el directorio. Algunos programas anti-virus (ejemplo AVG - 17 de febrero 2010) parecen perder el archivo completo.

El componente constructor servidor tiene las siguientes capacidades:

• Crear el componente de servidor
• Cambie el componente de servidor de puerto serie y / o dirección IP
• Cambie el nombre del ejecutable del componente de servidor
• Cambie el nombre del registro de Windows entrada de inicio
• Incluya rootkit para ocultar los procesos del servidor
• Incluya las extensiones para agregar características (añade 22759 bytes al servidor)
• Utilice la persistencia (hace que el servidor más difícil de eliminar del sistema infectado)

El componente de cliente tiene las siguientes capacidades:

• Process Manager (Consulte o matar procesos en ejecución)
• Administrador de archivos (Examinar, cargar, descargar o eliminar archivos)
• Window Manager (Navegar, cerrar, maximizar / minimizar o cambiar el nombre de las ventanas)
• Obtener información del sistema
• Extraer las contraseñas de la máquina
• Registro de pulsaciones
• Captura de pantalla
• Captura de webcam
• Cierre de sesión de escritorio, reinicio o apagado
• Editor del registro
• Shell remoto

El 28 de diciembre de 2005, los WMF de Windows exploit se utilizó para soltar nuevas variantes de Bifrost a las máquinas. Algunas soluciones y parches no oficiales se publicaron antes de que Microsoft anunció y publicó un parche oficial el 5 de enero de 2006 Los WMF exploit debe ser considerado extremadamente peligroso.

Variantes anteriores de Bifrost utilizan diferentes puertos, por ejemplo, 1971, 1999; tenía una capacidad de carga diferente, por ejemplo, C: \ WINNT \ system32 \ system.exe; y / o escribió diferentes del registro de Windows llaves.