BKDR_REMOSH.BD
Backdoor:Win32/Remosh.gen!A (Microsoft), Trojan.Gen (Symantec), Gen:Trojan.Heur.FU.bqW@a8UY8zdi (FSecure), TR/Dropper.Gen (Antivir), Gen:Trojan.Heur.FU.bqW@a8UY8zdi (Bitdefender), PUA.Win32.Packer.SetupExeSection (Clamav), Win32/Agent.PGE trojan (NOD32), Suspicious file (Panda), TrojanDropper.Agent.fsix (VBA32)
Windows 2000, Windows XP, Windows Server 2003
Tipo di minaccia informatica:
Backdoor
Distruttivo?:
No
Crittografato?:
In the wild::
Sì
Panoramica e descrizione
Puede haberlo infiltrado otro malware. Puede haberlo instalado manualmente un usuario.
Ele usa ícones de arquivos comuns para induzir o usuário a pensar que os arquivos são válidos.
Este malware se elimina tras la ejecución.
Dettagli tecnici
Detalles de entrada
Puede haberlo infiltrado el malware siguiente:
- SWF_DROPPER.BD
Puede haberlo instalado manualmente un usuario.
Instalación
Este malware infiltra el/los siguiente(s) archivo(s):
- %System%\recycler32.dll
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Su componente DLL se inyecta en el(los) siguiente(s) proceso(s):
- svchost.exe
Ele usa ícones de arquivos comuns para induzir o usuário a pensar que os arquivos são válidos.
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4
ImagePath = %systemroot%\system32\svchost.exe -k netsvcs
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4\Parameters
ServiceDll = %System%\recycler32.dll
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4\Security
Security = {random value}
Otros detalles
Este malware se elimina tras la ejecución.