RANSOM_KRAKEN.THHBBAH

Instalación

Infiltra los archivos siguientes:

• %User Temp%\{Random Hex}.{Random 3 Hex}.bat -> deletes the malware copy and the .bat
• %ProgramData%\Release.bat
• %ProgramData%\sdel.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Agrega los procesos siguientes:

• cmd.exe", "/C sc config eventlog start=disabled
• cmd.exe", "/C REG add \"HKLM\SYSTEM\CurrentControlSet\services\eventlog\" / v Start / t REG_DWORD / d 4 / f
• tasklist" /V /FO CSV

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• Kraken

Termina su ejecución cuando encuentra los siguientes procesos en la memoria del sistema afectado:

• Sysinternals: www.sysinternals.com
• wireshark
• EtherD
• EtherDetect
• The Wireshark Network Analyzer
• dumpcap
• sysAnalyzer
• TCPView
• C:\Program Files\Wireshark\
• NETSTAT
• sniff_hit

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Console
WordLoad = 1

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• agntsvcagntsvc
• agntsvcencsvc
• agntsvcisqlplussvc
• dbeng50
• dbsnmp
• firefoxconfig
• msftesql
• mydesktopqos
• mydesktopservice
• mysqld
• mysqld-nt
• mysqld-opt
• ocomm
• ocssd
• oracle
• sqbcoreservice
• sqlagent
• sqlbrowser
• sqlservr
• sqlwriter
• sqlwb
• synctime
• tbirdconfig
• xfssvccon
• notepad