Análisis realizado por : Jennifer Gumban   

 Alias

Found Luhe.Fiha.A (AVG)

 Plataforma:

Windows

 Riesgo general:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Backdoor

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción


  Detalles técnicos

Instalación

Infiltra los archivos siguientes:

  • %Application Data%\{random values}\ak.tmp
  • %Application Data%\{os}v3.4.2.2.vbs
  • %System%\wbem\Logs\wbemprox.log
  • %TEMP%\{4 characters}_appcompat.txt
  • %TEMP%\{os}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\Acrobat\svchost.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Policies = "%System%\Acrobat\svchost.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Antvirus = "%System%\Acrobat\svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Realtek(Audio) = "%System%\Acrobat\svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
Policies = "%System%\Acrobat\svchost.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\!@#$%¨¨&*VISUAL!@#$%¨¨&*
FirstExecution = "{date executed} -- {time executed}"

HKEY_CURRENT_USER\Software\!@#$%¨¨&*VISUAL!@#$%¨¨&*
NewIdentification = "!@#$%¨¨&*VISUAL!@#$%¨¨&*"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{UID}
StubPath = "%System%\Acrobat\svchost.exe"