BUXTE, peligroso gusano de propagación masiva. Actúa como backdoor de control remoto.  

© Jorge Machado  Lima-Perú

Win32/BUXTE 

BUXTE es un gusano reportado el 23 de Julio del 2002, de gran difusión masiva vía correo electrónico, que se propaga con un archivo anexado de nombre SETUPW32.EXE de 60 KB de extensión, auto-enviándose a través del servidor por defecto SMTP (Send Mail Transfer Protocol) del sistema infectado y de su propio SMTP, a las direcciones que extrae de MS Outlook, Internet Mail y Noticias. Actúa además como backdoor de control remoto. 

Está desarrollado en Visual Basic 6.0, con formato PE (Portable Ejecutable) e infecta los sistemas operativos operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000

Al hacer click en el archivo infectado, el gusano se auto-copia a la carpeta de inicio de Windows, para ser ejecutado la próxima vez que se inicie el sistema:

C:\Windows\Start Menu\Programs\Startup\BUXTEHUDE.EXE

También modifica la siguiente llave del registro:

[HKLM\Software\Microsoft\Windows\CurrenVersion\Run]
C:\Windows\setupw32.exe

Al re-iniciarse Windows, el gusano crea un Java Applet de nombre TROYAN.JAVA que al ser ejecutado muestra un mensaje de error en la pantalla:

 

Este Java Applet captura las direcciones de correo de los archivos de las bandejas de entrada de Microsoft Outlook Express, Internet Mail y News (Noticias). Para conseguir este propósito, el gusano realiza una búsqueda en las siguientes rutas: 

C:\Windows\Application Data\Microsoft\
Outlook Express\Mail\Inbox.idx 
C:\Windows\Application Data\Microsoft\
Outlook Express\Inbox.idx 
C:\Program Files\Internet Mail and News\
Defult User\Mail\Inbox.idx

Las mismas que son enviadas al autor del virus, usando el servidor SMTP por defecto o el SMTP.HOTPOP.COM, contenido dentro de su código viral. Asimismo emplea estos servidores para propagar masivamente el gusano, con el mensaje de correo inicial. 

También envía los archivos de passwords del sistema infectado al autor del gusano, con los siguientes detalles:

A: blabba@hotpop.com
Asunto: Somethin’ nice
Cuerpo del mensaje: Hello, Buxtehude!My name is <nombre del usuario infectado> and please take my pwl file...

Archivo anexado: <nombre del usuario infectado.PWL>

El gusano tiene además una opción de backdoor, al crear otro Java Applet de nombre BUXTEHUDE.JAVA, el cual es usado como Cliente del componente del servidor. Este Java Applet crea un socket que atienda una petición de conexión del autor. Esta es la forma mediante la cual establece la conexión con el sistema infectado, pudiendo tomar el absoluto control del sistema infectado. 

PER ANTIVIRUS® versión 7.6 con registro de virus al 23 de Julio del 2002 detecta y elimina eficientemente este gusano y sus componentes Java Applets. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS