Bifrost (caballo de Troya)

format_list_bulleted Contenido keyboard_arrow_down
ImprimirCitar

Bifrost es una familia de troyanos de puerta trasera con más de 10 variantes que pueden infectar desde Windows 95 hasta Windows 10 (aunque en los sistemas Windows modernos, después de Windows XP, su funcionalidad es limitada). Bifrost utiliza la configuración típica de servidor, constructor de servidores y programa de puerta trasera de cliente para permitir que un atacante remoto, que utiliza el cliente, ejecute código arbitrario en la máquina comprometida (que ejecuta el servidor cuyo comportamiento puede ser controlado por el editor del servidor).

El componente del servidor (con un tamaño de entre 20 y 50 kilobytes, según la variante) se coloca en C:\Program Files\Bifrost\server.exe con la configuración predeterminada y, cuando se ejecuta, se conecta a un Dirección IP predefinida en el puerto TCP 81, a la espera de comandos del usuario remoto que utiliza el componente del cliente. Sin embargo, se pueden cambiar tanto el directorio de instalación como el puerto TCP.

La conexión TCP está cifrada con una contraseña (predeterminada: "contraseña"), pero esto también se puede cambiar.

Se puede suponer que una vez que los tres componentes estén operativos, el usuario remoto puede ejecutar código arbitrario a voluntad en la máquina comprometida. Los componentes del servidor también se pueden colocar en C:\Windows y los atributos del archivo se pueden cambiar a "Solo lectura" y "Oculto". Es posible que los usuarios ocasionales no vean los directorios de forma predeterminada debido a la función "oculta" atributos establecidos en el directorio. Algunos programas antivirus (por ejemplo, AVG, 17 de febrero de 2010) parecen omitir el archivo por completo.

El componente del generador de servidores tiene las siguientes capacidades:

  • Crear el componente servidor
  • Cambiar el número de puerto del componente servidor y/o dirección IP
  • Cambiar el nombre ejecutable del componente servidor
  • Cambiar el nombre de la entrada de inicio del registro de Windows
  • Incluir rootkit para ocultar procesos del servidor
  • Incluye extensiones para añadir características (adds 22.759 bytes al servidor)
  • Use persistencia (hace que el servidor sea más difícil de eliminar del sistema infectado)

El componente del cliente tiene las siguientes capacidades:

  • Process Manager (Browse or kill running processes)
  • Administrador de archivos (Browse, subir, descargar o eliminar archivos)
  • Window Manager (Browse, close, maximizar/minimize, or rename windows)
  • Obtener información del sistema
  • Extraer contraseñas de la máquina
  • Grabación de Keystroke
  • Captura de pantalla
  • Captura Webcam
  • Logoff de escritorio, reinicio o cierre
  • Editor de registro
  • Carcasa remota

El 28 de diciembre de 2005, el exploit WMF de Windows se utilizó para colocar nuevas variantes de Bifrost en las máquinas. Algunas soluciones y parches no oficiales se publicaron antes de que Microsoft anunciara y publicara un parche oficial el 5 de enero de 2006. El exploit WMF debe considerarse extremadamente peligroso.

Las variantes más antiguas de Bifrost usaban puertos diferentes, p. 1971, 1999; tenía una carga útil diferente, p. C:\Winnt\system32\system.exe; y/o escribió diferentes claves de registro de Windows.

Bifrost fue diseñado antes de la introducción de UAC, por lo que Bifrost no puede instalarse en sistemas Windows modernos, a menos que se inicie con privilegios de administrador.

Más resultados...
Te puede interesar
Tamaño del texto:
undoredo
format_boldformat_italicformat_underlinedstrikethrough_ssuperscriptsubscriptlink
save
cancelcheck_circle