BKDR_PLUGX.AG
Backdoor:Win32/Plugx.A (Microsoft)
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.
Détails techniques
Installation
Schleust die folgenden Dateien ein:
- %System Root%\Documents and Settings\All Users\SxS\bug.log
- %System Root%\Documents and Settings\All Users\SxSq\rc.exe
- %System Root%\Documents and Settings\All Users\SxSq\rc.hlp
- %System Root%\Documents and Settings\All Users\SxSq\rcdll.dll
- %User Temp%\{random number}.exe
- %User Temp%\2.doc
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Erstellt die folgenden Ordner:
- %System Root%\Documents and Settings\All Users\SxS
- %System Root%\Documents and Settings\All Users\SxSq
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.
Autostart-Technik
Registriert die eigene eingeschleuste Komponente als Systemdienst, um zu gewährleisten, dass diese bei jedem Systemstart automatisch ausgeführt wird. Erstellt dafür die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Description = "SxSq"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
DisplayName = "SxSq"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ImagePath = ""%System Root%\Documents and Settings\All Users\SxSq\rc.exe" 200 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Type = "110"
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CLASSES_ROOT\FAST
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq