Microsoft: Plugx; Symantec: Korplug; Sophos: PlugX; Fortinet: PLUGX; Ikarus: Plugx; Eset: Korplug

 Plattform:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Backdoor

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Infektionsweg: Aus dem Internet heruntergeladen, Spam-Versand per E-Mail


  Technische Details

Speicherresiden: Ja
Schadteil: Compromises system security, Steals information, Logs keystrokes

Installation

Schleust folgende nicht bösartigen Dateien ein:

  • %AppDataLocal%\VirtualStore\Program Files\Common Files\NvSmart.exe
  • %AppDataLocal%\VirtualStore\Windows\system32\NvSmart.exe
  • %ProgramData%\Gf\NvSmart.exe
  • %ProgramData%\SxS\NvSmart.exe
  • %ProgramData%\SxS\rc.exe
  • %ProgramData%\SxSi\rc.exe
  • %System Root%\Users\All Users\Gf\NvSmart.exe
  • %System Root%\Users\All Users\SxS\NvSmart.exe
  • %System Root%\Users\All Users\SxS\rc.exe
  • %System Root%\Users\All Users\SxSi\rc.exe
  • %System Root%\Users\All Users\UdpGf\NvSmart.exe

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

  • %ProgramData%\Gf
  • %ProgramData%\SxS
  • %ProgramData%\SxSi
  • %System Root%\Users\All Users\Gf
  • %System Root%\Users\All Users\SxS
  • %System Root%\Users\All Users\SxSi
  • %System Root%\Users\All Users\UdpGf

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
Description = "Gf"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
DisplayName = "Gf"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
ImagePath = ""%ProgramData%\Gf\NvSmart.exe" 200 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
Type = "110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
Description = "SxS"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
DisplayName = "SxS"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
ImagePath = ""%ProgramData%\SxS\rc.exe" 200 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
Type = "110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Description = "UdpGf"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Description = "UdpGf"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
DisplayName = "UdpGf"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
ImagePath = ""%ProgramData%\UdpGf\NvSmart.exe" 200 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Type = "110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
Description = "SxSi"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
DisplayName = "SxSi"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
ImagePath = "%ProgramData%\SxSi\rc.exe" 200 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
Type = "110"

Registriert sich als Systemdienst, damit die Ausführung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschlüssel hinzufügt werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CLASSES_ROOT\FAST
CLSID = "{hex values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
FAST
CLSID = "{hex values}"

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_CLASSES_ROOT\FAST

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
FAST

Einschleusungsroutine

Schleust die folgenden Dateien ein:

  • %AppDataLocal%\VirtualStore\Program Files\Common Files\NvSmartMax.dll
  • %AppDataLocal%\VirtualStore\Program Files\Common Files\boot.ldr
  • %AppDataLocal%\VirtualStore\Windows\system32\NvSmartMax.dll
  • %AppDataLocal%\VirtualStore\Windows\system32\boot.ldr
  • %ProgramData%\Gf\NvSmartMax.dll
  • %ProgramData%\Gf\boot.ldr
  • %ProgramData%\SxS\NvSmartMax.dll
  • %ProgramData%\SxS\rc.hlp
  • %ProgramData%\SxS\rcdll.dll
  • %ProgramData%\SxSi\rc.hlp
  • %ProgramData%\SxSi\rcdll.dll
  • %System Root%\Users\All Users\Gf\NvSmartMax.dll
  • %System Root%\Users\All Users\Gf\boot.ldr
  • %System Root%\Users\All Users\SxS\NvSmartMax.dll
  • %System Root%\Users\All Users\SxS\rc.hlp
  • %System Root%\Users\All Users\SxS\rcdll.dll
  • %System Root%\Users\All Users\SxSi\rc.hlp
  • %System Root%\Users\All Users\SxSi\rcdll.dll
  • %System Root%\Users\All Users\UdpGf\NvSmart.usr
  • %System Root%\Users\All Users\UdpGf\NvSmartMax.dll

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)