BKDR_SHOTODOR.A

Para obtener una visión integral del comportamiento de este Backdoor, consulte el diagrama de amenazas que se muestra a continuación.

Agrega determinadas entradas de registro para desactivar el Administrador de tareas. Esta acción impide que el usuario lleve a cabo la cancelación del proceso de malware, la cual suele realizarse a través del Administrador de tareas.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Este malware modifica la configuración de zona de Internet Explorer.

Registra las pulsaciones de teclas de un usuario para robar información.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

• %User Profile%\WXVIL\RXBWDEDJ.dat - deleted after execution; contains obfuscated AutoScript
• %User Profile%\WXVIL\762677.JUB - detected as BKDR_SHOTODOR.A
• %User Profile%\WXVIL\settings.ini - config file
• %User Profile%\WXVIL\481456.dat - encrypted file
• %User Profile%\WXVIL\328774.dat - encrypted file

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Este malware infiltra el siguiente archivo no malicioso:

• %User Profile%\WXVIL\GIPYL.exe - non malicious AutoIt file

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Crea las carpetas siguientes:

• %User Profile%\WXVIL
• %Application Data%\dclogs

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• DC_MUTEX-B2FTUQZ

Este malware permanece como residente en memoria mediante la inyección de códigos en los siguientes procesos:

• RegSvcs.exe (v2.0.50727)
• RegSvcs.exe (v4.0.30319)
• Default Internet Browser (e.g. iexplore.exe, firefox.exe, chrome.exe)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
WXVIL = "%User Profile%\WXVIL\start.vbs"

Infiltra los archivos siguientes:

• %User Profile%\WXVIL\3562.vbs
• %User Profile%\WXVIL\start.cmd
• %User Profile%\WXVIL\start.vbs - runs the file "start.cmd"

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\DC3_FEXEC

Agrega las siguientes entradas de registro para desactivar el Administrador de tareas:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Capture video from webcam
• Change MSN Messenger & MSN contact list status
• Empty Recycle Bin
• List active windows
• Remote shell command
• Download and execute files
• Download updated copy of itself
• Upload files
• Log keystrokes
• Modify system's host file
• Record sounds
• Open and close CD-ROM drive door
• Steal passwords
• Get torrent files
• Refresh Wifi
• Uninstall programs
• Manipulate the following:
  • Browser
  • Clipboard
  • Desktop
  • Dialog Box
  • Files
  • Folders
  • Mouse clicks
  • Processes
  • Registries
  • Services
  • Shutdown button options
  • Start button
  • System clock
  • System tray
  • Taskbar

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.

Robo de información

Recopila los siguientes datos:

• Admin rights
• Computer/User name
• Language/Country
• Operating System information

Registra las pulsaciones de teclas de un usuario para robar información.

Información sustraída

La información robada se guarda en los siguientes archivos:

• %Application Data%\dclogs\{Current Date}-{Number}.dc

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).