Analysé par: Rhena Inocencio   
 

Backdoor:Win32/Plugx.A (Microsoft)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Backdoor

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.

  Détails techniques

File size: 302,627 bytes
File type: EXE
Date de réception des premiers échantillons: 01 août 2012

Installation

Schleust die folgenden Dateien ein:

  • %System Root%\Documents and Settings\All Users\SxS\bug.log
  • %System Root%\Documents and Settings\All Users\SxSq\rc.exe
  • %System Root%\Documents and Settings\All Users\SxSq\rc.hlp
  • %System Root%\Documents and Settings\All Users\SxSq\rcdll.dll
  • %User Temp%\{random number}.exe
  • %User Temp%\2.doc

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %System Root%\Documents and Settings\All Users\SxS
  • %System Root%\Documents and Settings\All Users\SxSq

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.

Autostart-Technik

Registriert die eigene eingeschleuste Komponente als Systemdienst, um zu gewährleisten, dass diese bei jedem Systemstart automatisch ausgeführt wird. Erstellt dafür die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Description = "SxSq"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
DisplayName = "SxSq"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ImagePath = ""%System Root%\Documents and Settings\All Users\SxSq\rc.exe" 200 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Type = "110"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CLASSES_ROOT\FAST

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq