Análisis realizado por : Rhena Inocencio   
 Alias

Backdoor:Win32/Plugx.A (Microsoft)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Backdoor

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

  Detalles técnicos

Tamaño del archivo 302,627 bytes
Tipo de archivo EXE
Fecha de recepción de las muestras iniciales 01 agosto 2012

Instalación

Infiltra los archivos siguientes:

  • %System Root%\Documents and Settings\All Users\SxS\bug.log
  • %System Root%\Documents and Settings\All Users\SxSq\rc.exe
  • %System Root%\Documents and Settings\All Users\SxSq\rc.hlp
  • %System Root%\Documents and Settings\All Users\SxSq\rcdll.dll
  • %User Temp%\{random number}.exe
  • %User Temp%\2.doc

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Crea las carpetas siguientes:

  • %System Root%\Documents and Settings\All Users\SxS
  • %System Root%\Documents and Settings\All Users\SxSq

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

Técnica de inicio automático

Registra el componente infiltrado como servicio del sistema para garantizar su ejecución automática cada vez que arranque el sistema. Para ello, crea las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Description = "SxSq"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
DisplayName = "SxSq"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ImagePath = ""%System Root%\Documents and Settings\All Users\SxSq\rc.exe" 200 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Type = "110"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\FAST

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq