WORM_KELIHOS.SWT
Backdoor:Win32/Kelihos.F(Microsoft), a variant of Win32/Kryptik.BMBA trojan (NOD32)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de malware
Worm
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Detalles técnicos
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random parameter 1}{random parameter 2} = "{malware path and file name}"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
DefaultCompressedRecord = "{random value}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
RecordModifiedMax = "{random value}=="
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
FlagsModifiedValid = "0"
HKEY_CURRENT_USER\Software\TansuTCP
ActiveModifiedTheme = "{random value}"
HKEY_CURRENT_USER\Software\TansuTCP
SizeCompletedValid = "{random value}=="
HKEY_CURRENT_USER\Software\TansuTCP
InfoPlayedCurrent = "0"
Propagación
Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- {Drive Letter}:\{random file name}.exe
Rutina de infiltración
Infiltra los archivos siguientes:
- {Drive Letter}:\{folder name}.lnk - if folder exists in removable drive
- {Drive Letter}:\Shortcut to {random file name}.lnk