BKDR_FYNLOSKI.SADR
Backdoor:Win32/Fynloski.A (Microsoft)
Windows
Tipo di minaccia informatica:
Backdoor
Distruttivo?:
No
Crittografato?:
In the wild::
Sì
Panoramica e descrizione
Dettagli tecnici
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %User Profile%\My Documents\MSDCSC\msdcsc.exe
- %User Temp%\MC CRACKED.EXE
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Este malware infiltra el/los siguiente(s) archivo(s):
- %User Temp%\e4jD.tmp_dir\exe4jlib.jar
- %User Temp%\e4jD.tmp_dir\i4jdel.exe
- %User Temp%\e4jD.tmp_dir\MinecraftSP.jar
- %User Temp%\e4jE.tmp_dir\exe4jlib.jar
- %User Temp%\e4jE.tmp_dir\i4jdel.exe
- %User Temp%\e4jE.tmp_dir\MinecraftSP.jar
- %User Temp%\e4jF.tmp_dir\exe4jlib.jar
- %User Temp%\e4jF.tmp_dir\i4jdel.exe;
- %User Temp%\e4jF.tmp_dir\MinecraftSP.jar
- %User Temp%\dclogs\{YYYY-MM-DD-S}.dc
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Crea las carpetas siguientes:
- %User Profile%\My Documents\MSDCSC
- %User Temp%\e4jD.tmp_dir
- %User Temp%\e4jE.tmp_dir
- %User Temp%\e4jF.tmp_dir
- %User Temp%\dclogs\
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Técnica de inicio automático
Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:
HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
MicroUpdate = %User Profile%\My Documents\My Documents\MSDCSC\msdcsc.exe
HKLM\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
UserInit = %System%\userinit.exe,%User Profile%\My Documents\MSDCSC\msdcsc.exe
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKCU\Software\DC3_FEXEC