Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Briz.S

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Briz.S consta de varios componentes que realizan las siguientes acciones:

  • Comprueba si hay conexión a Internet disponible, conectándose a la página de Microsoft.
  • Obtiene información del ordenador, como por ejemplo dirección IP, nombre, área geográfica, etc.
  • Impide que tanto el usuario como los programas instalados accedan a los siguientes sitios web relacionados con compañías antivirus:
    82.165.237.14
    82.165.250.33
    avp.com
    ca.com
    casablanca.cz
    customer.symantec.com
    d66.myleftnut.info
    d-eu-1f.kaspersky-labs.com
    d-eu-1h.kaspersky-labs.com
    d-eu-2f.kaspersky-labs.com
    d-eu-2h.kaspersky-labs.com
    dispatch.mcafee.com
    download.mcafee.com
    downloads1.kaspersky.com
    downloads1.kaspersky.ru
    downloads2.kaspersky.ru
    downloads3.kaspersky.ru
    downloads4.kaspersky.ru
    downloads5.kaspersky.ru
    downloads-us1.kaspersky.com
    d-ru-1f.kaspersky-labs.com
    d-ru-1h.kaspersky-labs.com
    d-ru-2f.kaspersky-labs.com
    d-ru-2h.kaspersky-labs.com
    d-us-1f.kaspersky-labs.com
    d-us-1h.kaspersky-labs.com
    eset.casablanca.cz
    eset.com
    f-secure.com
    kaspersky.com
    kaspersky-labs.com
    liveupdate.symantec.com
    liveupdate.symantecliveupdate.com
    mast.mcafee.com
    mcafee.com
    metalhead2005.info
    my-etrust.com
    nai.com
    networkassociates.com
    nod32.com
    norton.com
    rads.mcafee.com
    secure.nai.com
    securityresponse.symantec.com
    sophos.com
    symantec.com
    trendmicro.com
    u2.eset.com
    u3.eset.com
    u4.eset.com
    u7.eset.com
    update.symantec.com
    updates.symantec.com
    updates1.kaspersky.com
    updates2.kaspersky.com
    updates3.kaspersky.com
    updates-us1.kaspersky.com
    us.mcafee.com
    viruslist.com
    www.avp.com
    www.ca.com
    www.eset.com
    www.f-secure.com
    www.kaspersky.com
    www.mcafee.com
    www.microsoft.com
    www.my-etrust.com
    www.nai.com
    www.networkassociates.com
    www.nod32.com
    www.norton.com
    www.sophos.com
    www.symantec.com
    www.trendmicro.com
    www.viruslist.com
  • Monitoriza si el usuario accede a determinadas páginas web relacionadas con entidades bancarias.
  • Después, intenta redirigir dichos sitios web hacia un determinado servidor web, que alberga páginas que imitan las originales, cuando el usuario las visita. De este modo, podría engañar a usuarios desprevenidos, que proporcionarían información confidencial, como nombre y contraseña.
  • Captura la información introducida en los formularios de páginas web accedidas a través de Internet Explorer. De esta manera, obtiene contraseñas de cuentas de correo, sistemas bancarios y otros servicios online.
  • Utiliza el ordenador afectado como gateway (pasarela), para conectarse a servicios de Telnet, SMTP, FTP y HTTP de terceros de forma anónima.
  • Permite el control remoto del ordenador afectado. Para ello, accede remotamente al ordenador a través de Internet mediante una aplicación programada en PHP.
  • Almacena toda la información que ha recopilado en archivos temporales.

Metodo de Infección 

Briz.S es un troyano que consta de varios componentes que se descargan de Internet con los siguientes nombres:

  • DSRSS.EXE. Este archivo almacena la información recopilada en archivos temporales en la subcarpeta DRV32DTA del directorio de sistema de Windows.
    En esta subcarpeta crea los siguientes archivos:
    - KLG.TMP, en el que almacena las pulsaciones de teclado recogidas.
    - PSTORE_fecha_hora.TXT, en el que recoge datos del ordenador afectado.
    donde fecha y hora corresponde a la fecha y hora en la que se ha ejecutado el troyano.
    El archivo DSRSS.EXE presenta el icono de Internet Explorer:

  • IEREDIR.EXE, que se utiliza para redireccionar las páginas web reales a páginas falsificadas.
  • IB14.DLL, que es un BHO (Browser Helper Object) utilizado para capturar información de páginas web con formularios.
  • IESERVER.EXE. que descarga dos archivos que forman parte de un archivo RAR autoextraíble que contiene una aplicación programada en PHP.
    Cuando estos archivos son descomprimidos, Briz.S crea una subcarpeta denominada WEBSVR en el directorio de Windows.
  • WINLOGON.EXE, en el directorio de Windows. Este archivo permite utilizar el ordenador afectado como pasarela para conectarse de forma anónima a otros servicios.
  • CXPLIB.DLL.
  • SMSS.EXE.
  • PREREDIR.EXE.

 

Briz.S modifica el archivo HOSTS. De este modo, evita que el usuario pueda acceder a diversas páginas web, pertenecientes en su mayoría a compañías antivirus.

 

Briz.S crea la siguiente entrada en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    WinSysModule = dsrss.exe
    Mediante esta entrada, Briz.S consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Briz.S no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles  

Briz.S está escrito en el lenguaje de programación Visual Basic v6. Este troyano tiene un tamaño de 33792 Bytes.
Soporte técnico
Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info