Analizzato da: Cris Nowell Pantanilla   
 

Backdoor:Win32/Vawtrak.A (Microsoft), Backdoor.Win32.Papras.zhm (Kaspersky)

 Piattaforma:

Windows

 Valutazione del rischio complessivo:
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Backdoor

  • Distruttivo?:
    No

  • Crittografato?:

  • In the wild::

  Panoramica e descrizione

Ejecuta determinados comandos que recibe de forma remota desde un usuario malicioso. De esta forma pone en gran peligro el equipo afectado y la información del mismo.

  Dettagli tecnici

Dimensione file: 344,064 bytes
Tipo di file: DLL
Residente in memoria:
Data di ricezione campioni iniziali: 21 giugno 2017

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename} = "regsvr32.exe "%Program Data%\{random}\{random}.{3 random character}"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
TabProcGrowth = 0

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = 1

HKEY_CURRENT_USER\Software\{CLSID}
{random value} = "{hex values}"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Log keystrokes
  • Capture Screenshots
  • Open a process
  • Install Updates
  • List Process
  • Inject code to process
  • Download and execute files
  • Download configuration
  • Perform remote shell
  • Start VNC