BKDR_NBOT.A

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. Se conecta a un sitio Web para enviar y recibir información.

Se finaliza a sí misma si detecta que está siendo ejecutada en un entorno virtual.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• {Root Drive}:\myapp.exe

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• %Program Files%\iexplore.exe

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• download arbitrary files
• download and immediately execute updated copy
• download and execute updated copy after reboot
• start SOCKS proxy server
• stop SOCKS proxy server
• reboot the system
• steal cookies
• delete cookies from browsers
• uninstall itself
• download configuration file
• inject codes to site to monitor sites
• capture screenshots

Se conecta a los sitios Web siguientes para enviar y recibir información:

• http://{BLOCKED}7.{BLOCKED}8.90.193/nbotlogs/debug.php?
  It sends information in the following format: ver={version}&uid={UID}&process={process name}&pid={process ID}&level={value}&error={value}&status={value}&time={value}&message={value}&counter={value}&left={value}&data={stolen data}

Robo de información

Recopila los siguientes datos:

• OS version
• number of processors
• computer name
• username
• current time
• windows directory
• system directory
• program files directory
• application data directory
• screenshots

Otros detalles

Se finaliza a sí misma si detecta que está siendo ejecutada en un entorno virtual.