TROJ_CROWTI
Windows
Tipo de malware
Trojan
Destructivo?
Sí
Cifrado
Sí
In the Wild:
Sí
Resumen y descripción
Se conecta a determinados sitios Web para enviar y recibir información.
Detalles técnicos
Instalación
Agrega las carpetas siguientes:
- %System Root%\{7 characters from UID}
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Infiltra los archivos siguientes:
- %User Startup%\DECRYPT_INSTRUCTION.TXT
- %User Startup%\DECRYPT_INSTRUCTION.HTML
- %User Startup%\INSTALL_TOR.URL
(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).
)Infiltra y ejecuta los archivos siguientes:
- %Desktop%\DECRYPT_INSTRUCTION.TXT
- %Desktop%\DECRYPT_INSTRUCTION.HTML
- %Desktop%\INSTALL_TOR.URL
(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).
)Crea las siguientes copias de sí mismo en el sistema afectado:
- %System Root%\{7 characters from UID}\{7 characters from UID}.exe
- %Application Data%\{7 characters from UID}.exe
- %User Startup%\{7 characters from UID}.exe
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).. %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{7characters from UID} = "%Application Data%\{7 characters from UID}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{6 characters from UID} = "%System Root%\{7 characters from UID}\{7 characters from UID}.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications
HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}
HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}\Recent File List
HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}\Settings
Otros detalles
Se conecta al sitio Web siguiente para enviar y recibir información:
- http://www.{BLOCKED}apmak.com/{random value}
- http://www.{BLOCKED}ttringen.de/wordpress/{random value}
- http://www.{BLOCKED}epsphotography.co.uk/blog/{random value}
- http://www.{BLOCKED}guild.com/{random value}
- http://www.{BLOCKED}e.be/{random value}
- http://www.{BLOCKED}e-schwarzenberg.de/wp-content/themes/fdp-asz/{random value}
- http://www.{BLOCKED}ntiques.co.uk/blog/{random value}
- http://www.{BLOCKED}erburg.ch/wordpress/{random value}
- http://www.{BLOCKED}info.com/wp-content/themes/mh/{random value}
- http://www.{BLOCKED}ifesupport.com/{random value}
- http://eportfolio.{BLOCKED}man.ca/blog/{random value}
- http://www.{BLOCKED}oman.com/wp-content/themes/s431_Blue/{random value}
- http://{BLOCKED}tner.cz/{random value}
- http://www.{BLOCKED}umann.de/{random value}
- http://www.{BLOCKED}rda.com/blog-trabajos/{random value}
- http://www.{BLOCKED}.at/jesneu/wp-content/themes/Girl/{random value}
- http://www.{BLOCKED}orideal.com.br/site/{random value}
- http://www.{BLOCKED}imes.com/{random value
Cifra los archivos con las extensiones siguientes:
- .pdf
- .pdf
- .pot
- .pot
- .hta
- .xlt
- .xlt
- .pps
- .pps
- .xlw
- .xlw
- .dot
- .dot
- .rtf
- .rtf
- .ppt
- .ppt
- .xls
- .xls
- .doc
- .doc
- .xml
- .xml
- .htm
- .htm
- .html
- .html
- .hta
- .zip
- .dvr-ms
- .wvx
- .wmx
- .wmv
- .wm
- .mpv2
- .mpg
- .mpeg
- .mpe
- .mpa
- .mp2v
- .mp2
- .m1v
- .IVF
- .asx
- .asf
- .wax
- .snd
- .rmi
- .m3u
- .au
- .aiff
- .aifc
- .aif
- .midi
- .mid
- .wma
- .wav
- .mp3
- .wmf
- .tiff
- .tif
- .rle
- .png
- .jpeg
- .jpe
- .jpg
- .jfif
- .ico
- .gif
- .emf
- .dib
- .bmp