Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Bofra.C

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Bofra.C realiza las siguientes acciones:

  • Abre el puerto 6667 e intenta conectarse a los siguientes servidores IRC:

    broadway.ny.us.dal.net
    brussels.be.eu.undernet.org
    caen.fr.eu.undernet.org
    coins.dal.net
    diemen.nl.eu.undernet.org
    flanders.be.eu.undernet.org
    graz.at.eu.undernet.org
    london.uk.eu.undernet.org
    los-angeles.ca.us.undernet.org
    lulea.se.eu.undernet.org
    tes.dal.net
    washington.dc.us.undernet.org
  • Abre el puerto 1639 y hace que el ordenador afectado actúe como servidor HTTP.

Metodo de Infección 

Bofra.C crea un archivo cuyo nombre aleatorio termina en 32 y tiene extensión EXE, en el directorio de sistema de Windows. Este archivo es una copia del gusano.

Bofra.C crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    %clave% = %sysdir%\ %archivo%
    donde %clave% es un nombre aleatorio de la lista center, reactor, Reactor3, Reactor4, Reactor5 y Rhino; %sysdir% es el directorio de sistema de Windows, y %archivo% es el nombre aleatorio de la copia de sí mismo creada por el gusano.
    Mediante esta entrada, Bofra.C consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComExplore
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComExplore\ Version
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComExplore
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ComExplore\ Version

Método de Propagación 

Bofra.C utiliza una combinación de mensajes de correo electrónico y vulnerabilidades para propagarse a otros ordenadores:

  • Una vez ha afectado un ordenador, Bofra.C abre el puerto 1639 y hace que el ordenador actúe como servidor HTTP.
  • Busca direcciones de correo electrónico en archivos con las siguientes extensiones: ADB, ASP, DBX, HTM, PHP, PL, SHT, TBB y TXT.
    Sin embargo, descarta aquellas direcciones que contengan cualquiera de las siguientes     cadenas de texto en su dominio de correo:
    .gov, .mil, accoun, acketst, admin, anyone, arin., avp, be_loyal:, berkeley, borlan, bsd, bugs, ca, certific, contact, example, feste, fido, foo., fsf., gnu, gold-certs, google, gov., help, hotmail, iana, ibm.com, icrosof, icrosoft, ietf, info, inpris, isc.o, isi.e, kernel, linux, listserv, math, me, mit.e, mozilla, msn., mydomai, no, nobody, nodomai, noone, not, nothing, ntivi, page, panda, pgp, postmaster, privacy, rating, rfc-ed, ripe., root, ruslis, samples, secur, sendmail, service, site, soft, somebody, someone, sopho, submit, support, syma, tanford.e, the.bat, unix, usenet, utgers.ed, webmaster, you y your.
  • Envía mensajes de correo electrónico a diferentes direcciones que compone, utilizando su propio motor SMTP. Los mensajes tienen las siguientes características:

    Destinatario:
    Consiste en un nombre de usuario aleatorio, elegido de una lista fija, y de un dominio de correo:
    Posibles nombres de usuario: adam, alex, alice, andrew, anna, bill, bob, brenda, brent, brian, claudia, dan, dave, david, debby, fred, george, helen, jack, james, jane, jerry, jim, jimmy, joe, john, jose, julie, kevin, leo, linda, maria, mary, matt, michael, mike, peter, ray, robert, sam, sandra, serg, smith, stan, steve, ted, tom.
    Posibles dominios de correo: aol.com, hotmail.com, msn.com, yahoo.com o alguno de los dominios de correo de las direcciones que ha recogido en el ordenador afectado.
    Por ejemplo: adam@aol.com, michael@hotmail.com, etc.

    Remitente:
    Bofra.C falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
    El remitente es alguno de los siguientes nombres: Becky, jane, joanna, KETTY, sindy.

    Asunto: uno de los siguientes:
    <en blanco>
    <caracteres aleatorios>
    funny photos :-)
    hello
    hey!

    Mensaje: uno de los siguientes:
    FREE ADULT VIDEO! SIGN UP NOW!
    Look at my homepage with my last webcam photos!

    Archivo adjunto:
    No contiene ningún archivo adjunto.
  • Estos mensajes de correo electrónico contienen un enlace a un archivo que se encuentra guardado en el ordenador afectado, y que contiene el exploit conocido como IFRAME.BoF.
  • Si el usuario remoto pulsa sobre el enlace y su ordenador es vulnerable a este exploit, Bofra.C es descargado y ejecutado automáticamente, sin más intervención del usuario.

Otros Detalles  

Bofra.C tiene un tamaño de 20751 Bytes, y está comprimido mediante MEW.

Bofra.C crea el mutex LOAD4, para asegurarse de que únicamente haya una copia suya activa en cada momento.
Soporte técnico
Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info