TROJ_AVRECON.NVP

Publish date: 18 de marzo de 2016

Plataforma:

Windows

Riesgo general:

Potencial de destrucción:

Potencial de distribución:

Infección divulgada:

Revelación de la información:

Bajo

Medio

High

Crítico

Tipo de malware
Trojan
Destructivo?
No
Cifrado
Sí
In the Wild:
Sí

Resumen y descripción

Canal de infección Descargado de Internet

Modifica las entradas de registro para desactivar la configuración del cortafuegos de Windows. Esta acción permite que el malware lleve a cabo sus rutinas sin ser detectado por el cortafuegos de Windows.

Se conecta a determinados sitios Web para enviar y recibir información.

Detalles técnicos

Tamaño del archivo 333,312 bytes

Tipo de archivo EXE

Residente en memoria Sí

Fecha de recepción de las muestras iniciales 14 marzo 2016

Carga útil Connects to URLs/IPs, Terminates processes

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

%Application Data%\Mozilla\svchoste.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Este malware se inyecta a sí mismo en los siguientes procesos como parte de su rutina de residencia en memoria:

svchost.exe
explorer.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Generic Host Process = "%Application Data%\Mozilla\svchoste.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
wowsys64datecheck = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Microsoft Antimalware\Exclusions\Extensions
{extensions} = "0"

where {extensions} are as follows:

*.exe
*.dll
*.tmp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Extensions
{extensions} = = "0"

where {extensions} are as follows:

*.exe
*.dll
*.tmp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Processes
{processes} = "0"

where {processes} are as follows:

svchost.exe
consent.exe
rundll32.exe
explorer.exe
spoolsv.exe
rgjdu.exe
afwqs.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Microsoft Antimalware\Exclusions\Processes
{processes} = "0"

where {processes} are as follows:

svchost.exe
consent.exe
rundll32.exe
explorer.exe
spoolsv.exe
rgjdu.exe
afwqs.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
WinNtM = "1"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
WinNtAv = "1"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
WinNtAr = "1"

Modifica las siguientes entradas de registro para desactivar la configuración del cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"