PTIGER
Ptiger, Pincav, PTig
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.
Détails techniques
Installation
Schleust die folgenden Dateien ein:
- %System%\shell64.dll
- %User Temp%\WinWMI.dll
- %System%\WinWMI.dll
- %System%\packet64.dll
- %System%\qmgrxp.dll
- {malware path}\{malware file name}.dat
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\smss32.exe
- %System%\qmgrxp.exe
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Die DLL-Komponente wird in den oder die folgenden Prozesse injiziert:
- explorer.exe
Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:
- PittyTiger
Andere Systemänderungen
Ändert die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%System%\smss32.exe,"
(Note: The default value data of the said registry entry is %System%\userinit.exe,.)
Backdoor-Routine
Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:
- Capture screen
- Connect to new C&C server
- Download file from C&C server
- Perform remote shell
- Update C&C server and port used
- Upload file to C&C server