Active Scan. Analiza Gratis tu PC
Download Cloud Antivirus Gratis

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

ButterflyBot.A

PeligrosidadPeligrosidad muy altaDañoMuy dañinoPropagaciónMedianamente extendido

Efectos 

ButterflyBot.A es un gusano de tipo bot, cuyo objetivo es convertir el ordenador afectado en un zombie para que pueda ser controlado remotamente y recibir instrucciones de su creador sin el conocimiento ni consentimiento del usuario.

Una vez instalado, se inyecta en el proceso EXPLORER.EXE para evitar tener que ejecutarse bajo un proceso sospechoso y así pasar desapercibido. Además, como el proceso EXPLORER.EXE suele tener habilitada la conexión a Internet, el bot puede recibir las instrucciones que le envíe su creador y saltarse el cortafuegos, si hubiera alguno instalado.

Puede recibir diversas instrucciones, siendo algunas de ellas las siguientes:

  • Descargar y ejecutar archivos, lo que le permitiría instalar cualquier tipo de malware en el ordenador. Por ejemplo, podría introducir un troyano diseñado para robar todo tipo de contraseñas, poniendo en riesgo los datos confidenciales del usuario.
  • Descargar actualizaciones de sí mismo, con lo que podría añadir nuevas funcionalidades y variar su comportamiento, dificultando así su detección.
  • Activar/desactivar la propagación a través de unidades extraíbles, programas de mensajería instantánea y P2P.

En la siguiente tabla se puede observar un resumen de las principales comandos que recibe el bot con su correspondiente explicación:

Tabla de comandos recibidos por ButterflyBot.A

Hay que destacar el particular lenguaje que utiliza el creador del bot para denominar algunos de estos comandos, como "alinfiernoya" para borrar el bot, "trinka (url)" para descargar un archivo desde cierta URL, o "pillaestenuevoya(url)" para actualizar el bot.

Además establece conexiones con las siguientes direcciones desde las que gestiona el tipo de comando que envía al ordenador comprometido y los archivos que va a descargar:

  • butterfly.Biney.biz
  • bf2.sinip.es
  • bfis.sinip.es
  • laluau.sinip.es
  • thejackfive.mobi

Estas direcciones utilizan servidores DNS dinámicos para poder modificar en cualquier momento las instrucciones enviadas por el creador del bot y los archivos que va a descargar.

 

Por otra parte, el programa para crear ejemplares personalizados de este bot, que permite diseñar a los usuarios su propia red de bots, está a la venta en Internet. La siguiente imagen corresponde a la página web en la que se puede adquirir:

Página web de venta del programa para crear bots personalizados

 

La siguiente imagen corresponde a la pantalla de configuración del bot, que permite al usuario que compre este programa configurarlo a su gusto:

Pantalla de configuracion del bot

Las opciones de configuración que permite son:

  • Seleccionar si las réplicas de sí mismo que realiza son polimórficas o no.
  • Puertos de conexión al servidor.
  • Retardo hasta la inyección en el proceso EXPLORER.EXE para dificultar el análisis del malware.
  • Número de envíos por MSN Messenger.
  • Nombre del archivo con el que se copia en las unidades extraíbles.
  • Configuración del autoarranque de dichas unidades extraíbles.

La siguiente imagen corresponde al servidor que controla los ordenadores infectados y permite enviar las órdenes y configurar la red de bots:

Imagen del servidor que permite controlar los ordenadores infectados

Metodo de Infección 

ButterflyBot.A crea una copia de sí mismo con el nombre SYSDATE.EXE, en la ruta C:\RECYCLER\%valor aleatorio%. Este archivo es una copia del gusano.

 

ButterflyBot.A crea la siguiente entrada en el Registro de Windows para ejecutarse cada vez que Windows se inicia:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
    Taskman = C:\RECYCLER\
    %valor aleatorio%\sysdate.exe

Método de Propagación 

ButterflyBot.A utiliza diversas vías para propagarse, con el objetivo de infectar el mayor número de ordenadores posible. Además, tiene la posibilidad de activar y desactivar las diferentes maneras de propagarse a través de una serie de instrucciones específicas que recibe desde lo que se denomina "Centro de comando y control" de la botnet.

ButterflyBot.A se propaga a través de unidades extraíbles, de programas de mensajería instantánea como MSN Messenger y programas P2P.

1.- Unidades extraíbles

Para ello, realiza copias de sí mismo en las unidades extraíbles del sistema, afectando a los dispositivos extraíbles que se conecten al ordenador, como por ejemplo las llaves USB.

Además, crea un archivo AUTORUN.INF en dichas unidades, para que el gusano se ejecute automáticamente cada vez que se conecte el dispositivo a un ordenador.

 

2.- MSN Messenger

Envía mensajes instantáneos que contienen un enlace desde el que se descarga una copia del gusano a todos los contactos del usuario afectado.

Si el usuario ejecuta el archivo descargado, el ordenador quedará infectado por el gusano.

 

3.- Redes P2P

El gusano crea copias de sí mismo en las carpetas compartidas de diversos programas P2P utilizando nombres de aplicaciones legítimas para que otros usuarios que busquen este tipo de programas, lo descarguen y lo ejecuten pensando que se trata de un programa legal.

Otros Detalles  

ButterflyBot.A tiene un tamaño de 134656 Bytes.

Soporte técnico

Accesos rápidos

Panda Quick Start

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Panda Desinfección Remota

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info

Panda Optimización Remota

Panda Optimización Remota

Nuestros técnicos revisan tu PC y lo dejan funcionando en óptimas condiciones, como el primer día.
[+] info