Analisado por: Michael Cabel   
 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Backdoor

  • Destrutivo:
    Não

  • Criptografado:
    Não

  • In the Wild:
    Sim

  Visão geral


  Detalhes técnicos

Tipo de compactação: 10,563,072 bytes
Tipo de arquivo: DLL
Residente na memória: Sim
Data de recebimento das amostras iniciais: 13 julho 2011

Installation

Fügt die folgenden Ordner hinzu:

  • %Program Files%\Wbod

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers1}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers2}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers3}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers4}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers5}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gieiab Prtvqoqt Bgj\Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

Andere Systemänderungen

Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
imgsvc = "StiSvc Gieiab Prtvqoqt Bgj"

(Note: The default value data of the said registry entry is StiSvc.)

Einschleusungsroutine

Schleust die folgenden Dateien ein:

  • %Program Files%\Wbod\Xkrlgrlng.pic - also detected as BKDR_INJECT.TP

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)