BKDR_NAPOLAR.FS

Se inyecta en todos los procesos en ejecución para permanecer en memoria.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. Se conecta a un sitio Web para enviar y recibir información.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %User Startup%\lsass.exe

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

Se inyecta en todos los procesos en ejecución para permanecer en memoria.

Técnica de inicio automático

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio del usuario de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

• %User Startup%\lsass.exe

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Steal information from a browser
• Open a browser and load a specific page
• Run a Tor service
• Download and execute file
• Perform DDOS attack

Se conecta a los sitios Web siguientes para enviar y recibir información:

• http://www.{BLOCKED}answorld.in/index/user/forum/talks/

Robo de información

Recopila los siguientes datos:

• User name
• Computer name