Analisado por: Cris Nowell Pantanilla   
 

Backdoor:Win32/Vawtrak.A (Microsoft), Backdoor.Win32.Papras.zhm (Kaspersky)

 Plataforma:

Windows

 Classificao do risco total:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Backdoor

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Führt bestimmte Befehle aus, die sie extern von einem böswilligen Benutzer erhält. Dadurch sind der betroffene Computer und auf ihm gespeicherte Daten stärker gefährdet.

  Detalhes técnicos

Tipo de compactação: 344,064 bytes
Tipo de arquivo: DLL
Residente na memória: Sim
Data de recebimento das amostras iniciais: 21 junho 2017

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename} = "regsvr32.exe "%Program Data%\{random}\{random}.{3 random character}"

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
TabProcGrowth = 0

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = 1

HKEY_CURRENT_USER\Software\{CLSID}
{random value} = "{hex values}"

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

  • Log keystrokes
  • Capture Screenshots
  • Open a process
  • Install Updates
  • List Process
  • Inject code to process
  • Download and execute files
  • Download configuration
  • Perform remote shell
  • Start VNC