PLUGX
Microsoft: Plugx; Symantec: Korplug; Sophos: PlugX; Fortinet: PLUGX; Ikarus: Plugx; Eset: Korplug
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Malware-Typ:
Backdoor
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Technische Details
Installation
Schleust folgende nicht bösartigen Dateien ein:
- %AppDataLocal%\VirtualStore\Program Files\Common Files\NvSmart.exe
- %AppDataLocal%\VirtualStore\Windows\system32\NvSmart.exe
- %ProgramData%\Gf\NvSmart.exe
- %ProgramData%\SxS\NvSmart.exe
- %ProgramData%\SxS\rc.exe
- %ProgramData%\SxSi\rc.exe
- %System Root%\Users\All Users\Gf\NvSmart.exe
- %System Root%\Users\All Users\SxS\NvSmart.exe
- %System Root%\Users\All Users\SxS\rc.exe
- %System Root%\Users\All Users\SxSi\rc.exe
- %System Root%\Users\All Users\UdpGf\NvSmart.exe
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Erstellt die folgenden Ordner:
- %ProgramData%\Gf
- %ProgramData%\SxS
- %ProgramData%\SxSi
- %System Root%\Users\All Users\Gf
- %System Root%\Users\All Users\SxS
- %System Root%\Users\All Users\SxSi
- %System Root%\Users\All Users\UdpGf
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Autostart-Technik
Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
Description = "Gf"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
DisplayName = "Gf"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
ImagePath = ""%ProgramData%\Gf\NvSmart.exe" 200 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
Description = "SxS"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
DisplayName = "SxS"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
ImagePath = ""%ProgramData%\SxS\rc.exe" 200 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Description = "UdpGf"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Description = "UdpGf"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
DisplayName = "UdpGf"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
ImagePath = ""%ProgramData%\UdpGf\NvSmart.exe" 200 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
Description = "SxSi"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
DisplayName = "SxSi"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
ImagePath = "%ProgramData%\SxSi\rc.exe" 200 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
Type = "110"
Registriert sich als Systemdienst, damit die Ausführung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschlüssel hinzufügt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CLASSES_ROOT\FAST
CLSID = "{hex values}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
FAST
CLSID = "{hex values}"
Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:
HKEY_CLASSES_ROOT\FAST
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
FAST
Einschleusungsroutine
Schleust die folgenden Dateien ein:
- %AppDataLocal%\VirtualStore\Program Files\Common Files\NvSmartMax.dll
- %AppDataLocal%\VirtualStore\Program Files\Common Files\boot.ldr
- %AppDataLocal%\VirtualStore\Windows\system32\NvSmartMax.dll
- %AppDataLocal%\VirtualStore\Windows\system32\boot.ldr
- %ProgramData%\Gf\NvSmartMax.dll
- %ProgramData%\Gf\boot.ldr
- %ProgramData%\SxS\NvSmartMax.dll
- %ProgramData%\SxS\rc.hlp
- %ProgramData%\SxS\rcdll.dll
- %ProgramData%\SxSi\rc.hlp
- %ProgramData%\SxSi\rcdll.dll
- %System Root%\Users\All Users\Gf\NvSmartMax.dll
- %System Root%\Users\All Users\Gf\boot.ldr
- %System Root%\Users\All Users\SxS\NvSmartMax.dll
- %System Root%\Users\All Users\SxS\rc.hlp
- %System Root%\Users\All Users\SxS\rcdll.dll
- %System Root%\Users\All Users\SxSi\rc.hlp
- %System Root%\Users\All Users\SxSi\rcdll.dll
- %System Root%\Users\All Users\UdpGf\NvSmart.usr
- %System Root%\Users\All Users\UdpGf\NvSmartMax.dll
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)