BKDR_PLUGX.KNI

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Instalación

Infiltra los archivos siguientes:

• %All Users Profile%\helen\setup.exe ← normal file used to load msi.dll
• %All Users Profile%\helen\msi.dll ← copy of itself, detected as BKDR_PLUGX.KNI
• %All Users Profile%\helen\msi.dllmsi ← config data

Agrega los procesos siguientes:

• %Program Files%\Windows Media Player\wmplayer.exe
• %System%\svchost

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

Se introduce en los siguientes procesos que se ejecutan en la memoria del sistema afectado:

• wmplayer.exe
• svchost.exe

Crea las carpetas siguientes:

• %All Users Profile%\helen

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• Helens

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mcsync
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mcsync
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mcsync
ImagePath = "%All Users Profile%\helen\setup.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mcsync
DisplayName = "mcsync"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mcsync
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mcsync
Description = "Synchronization Application"

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
mcsync = "%All Users Profile%\helen\setup.exe"

Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mcsync

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Copy, move, rename, delete files
• Create directories
• Create files
• Enumerate files
• Execute files
• Get drive information
• Get file information
• Open and modify files
• Log keystrokes and active window
• Enumerate TCP and UDP connections
• Enumerate network resources
• Set TCP connection state
• Lock workstation
• Log off user
• Restart/Reboot/Shutdown system
• Display a message box
• Perform port mapping
• Enumerate processes
• Get process information
• Terminate processes
• Enumerate registry keys
• Create registry keys
• Delete registry keys
• Copy registry keys
• Enumerate registry entries
• Modify registry entries
• Delete registry values
• Screen capture
• Delete services
• Enumerate services
• Get service information
• Modify services
• Start services
• Perform remote shell
• Host Telnet server
• Connect to a database server and execute SQL statement

Rutina de infiltración

Infiltra los archivos siguientes:

• %All Users Profile%\helen\{random file name 1} → encrypted data
• %All Users Profile%\helen\{random file name 2} → encrypted data