BKDR_VAWTRAK.YUYAMY
Backdoor:Win32/Vawtrak.A (Microsoft), Backdoor.Win32.Papras.zhm (Kaspersky)
Windows
Tipo de grayware:
Backdoor
Destrutivo:
Não
Criptografado:
Sim
In the Wild:
Sim
Visão geral
Führt bestimmte Befehle aus, die sie extern von einem böswilligen Benutzer erhält. Dadurch sind der betroffene Computer und auf ihm gespeicherte Daten stärker gefährdet.
Detalhes técnicos
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename} = "regsvr32.exe "%Program Data%\{random}\{random}.{3 random character}"
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
TabProcGrowth = 0
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = 1
HKEY_CURRENT_USER\Software\{CLSID}
{random value} = "{hex values}"
Backdoor-Routine
Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:
- Log keystrokes
- Capture Screenshots
- Open a process
- Install Updates
- List Process
- Inject code to process
- Download and execute files
- Download configuration
- Perform remote shell
- Start VNC