Analizzato da: Rhena Inocencio   
 

Backdoor:Win32/Plugx.A (Microsoft)

 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Backdoor

  • Distruttivo?:
    No

  • Crittografato?:
     

  • In the wild::

  Panoramica e descrizione

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

  Dettagli tecnici

Dimensione file: 302,627 bytes
Tipo di file: EXE
Data di ricezione campioni iniziali: 01 agosto 2012

Instalación

Infiltra los archivos siguientes:

  • %System Root%\Documents and Settings\All Users\SxS\bug.log
  • %System Root%\Documents and Settings\All Users\SxSq\rc.exe
  • %System Root%\Documents and Settings\All Users\SxSq\rc.hlp
  • %System Root%\Documents and Settings\All Users\SxSq\rcdll.dll
  • %User Temp%\{random number}.exe
  • %User Temp%\2.doc

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Crea las carpetas siguientes:

  • %System Root%\Documents and Settings\All Users\SxS
  • %System Root%\Documents and Settings\All Users\SxSq

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

Técnica de inicio automático

Registra el componente infiltrado como servicio del sistema para garantizar su ejecución automática cada vez que arranque el sistema. Para ello, crea las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Description = "SxSq"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
DisplayName = "SxSq"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ImagePath = ""%System Root%\Documents and Settings\All Users\SxSq\rc.exe" 200 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Type = "110"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\FAST

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq