Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Bofra.B realiza las siguientes acciones:
- Abre el puerto 6667 e intenta conectarse a los siguientes servidores IRC:
broadway.ny.us.dal.net
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
coins.dal.net
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
ozbytes.dal.net
vancouver.dal.net
washington.dc.us.undernet.org
- Abre el puerto 1639 y hace que el ordenador afectado actúe como servidor HTTP.
Metodo de Infección
Bofra.B crea un archivo cuyo nombre aleatorio termina en 32 y tiene extensión EXE, en el directorio de sistema de Windows. Este archivo es una copia del gusano.
Bofra.B crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
%clave% = %sysdir%\ %archivo%
donde %clave% es un nombre aleatorio de la lista center, reactor, Reactor3, Reactor4, Reactor5 y Rhino; %sysdir% es el directorio de sistema de Windows, y %archivo% es el nombre aleatorio de la copia de sí mismo creada por el gusano.
Mediante esta entrada, Bofra.B consigue ejecutarse cada vez que Windows se inicia. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComExplore
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComExplore\ Version
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComExplore
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComExplore\ Version
Método de Propagación
Bofra.B utiliza una combinación de mensajes de correo electrónico y vulnerabilidades para propagarse a otros ordenadores:
- Una vez ha afectado un ordenador, Bofra.B abre el puerto 1639 y hace que el ordenador actúe como servidor HTTP.
- Busca direcciones de correo electrónico en archivos con las siguientes extensiones: ADB, ASP, DBX, HTM, PHP, PL, SHT, TBB y TXT.
Sin embargo, descarta aquellas direcciones que contengan cualquiera de las siguientes cadenas de texto en su dominio de correo:
.gov, .mil, accoun, acketst, admin, anyone, arin., avp, be_loyal:, berkeley, borlan, bsd, bugs, ca, certific, contact, example, feste, fido, foo., fsf., gnu, gold-certs, google, gov., help, hotmail, iana, ibm.com, icrosof, icrosoft, ietf, info, inpris, isc.o, isi.e, kernel, linux, listserv, math, me, mit.e, mozilla, msn., mydomai, no, nobody, nodomai, noone, not, nothing, ntivi, page, panda, pgp, postmaster, privacy, rating, rfc-ed, ripe., root, ruslis, samples, secur, sendmail, service, site, soft, somebody, someone, sopho, submit, support, syma, tanford.e, the.bat, unix, usenet, utgers.ed, webmaster, you y your.
- Envía mensajes de correo electrónico a diferentes direcciones que compone, utilizando su propio motor SMTP. Los mensajes tienen las siguientes características:
Destinatario:
Consiste en un nombre de usuario aleatorio, elegido de una lista fija, y de un dominio de correo:
Posibles nombres de usuario: adam, alex, alice, andrew, anna, bill, bob, brenda, brent, brian, claudia, dan, dave, david, debby, fred, george, helen, jack, james, jane, jerry, jim, jimmy, joe, john, jose, julie, kevin, leo, linda, maria, mary, matt, michael, mike, peter, ray, robert, sam, sandra, serg, smith, stan, steve, ted, tom.
Posibles dominios de correo: aol.com, hotmail.com, msn.com, yahoo.com o alguno de los dominios de correo de las direcciones que ha recogido en el ordenador afectado.
Por ejemplo: adam@aol.com, michael@hotmail.com, etc.
Remitente:
Bofra.B falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
Asunto: uno de los siguientes:
<en blanco>
Confirmation
Hello!
Hey!
Hi!
Mensaje: uno de los siguientes:
Congratulations! PayPal has successfully charged $175 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days.
To see details please click this link.
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received.
Thank you for using PayPal.
Hi! I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam photos!
Archivo adjunto:
No contiene ningún archivo adjunto.
- Estos mensajes de correo electrónico contienen un enlace a un archivo que se encuentra guardado en el ordenador afectado, y que contiene el exploit conocido como IFRAME.BoF.
- Si el usuario remoto pulsa sobre el enlace y su ordenador es vulnerable a este exploit, Bofra.B es descargado y ejecutado automáticamente, sin más intervención del usuario.
Otros Detalles
Bofra.B tiene un tamaño de 21508 Bytes, y está comprimido mediante MEW.
Bofra.B crea el mutex LOAD5, para asegurarse de que únicamente haya una copia suya activa en cada momento.