Análisis realizado por : MarfelTi   
 Modificado por : Cris Nowell Pantanilla
 Alias

Backdoor:Win32/Fynloski.A (Microsoft); PAK:PE_Patch.Enigma (Kaspersky)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Backdoor

  • Destructivo?
    No

  • Cifrado

  • In the Wild:

  Resumen y descripción


  Detalles técnicos

Tamaño del archivo 3,865,600 bytes
Tipo de archivo EXE
Residente en memoria No
Fecha de recepción de las muestras iniciales 01 agosto 2011

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %User Profile%\Application Data\bootsys\boot.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Crea las carpetas siguientes:

  • %User Profile%\Application Data\bootsys

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
syslds = "%User Profile%\Application Data\bootsys\boot.exe"

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%User Profile%\Application Data\bootsys\boot.exe"

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\DC3_FEXEC

HKEY_CURRENT_USER\Software\Enigma Protector

HKEY_CURRENT_USER\Software\sang sinsang

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU

Este malware modifica la(s) siguiente(s) entrada(s)/clave(s) de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(Note: The default value data of the said registry entry is 2.)

Este malware también crea la(s) siguiente(s) entrada(s) de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International
W2KLpk = "1"