Analizzato da: Jeanne Jocson   
 Piattaforma:

Windows

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
 Informazioni esposizione: :
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Trojan

  • Distruttivo?:
    No

  • Crittografato?:
     

  • In the wild::

  Panoramica e descrizione

Este malware infiltra copias de sí mismo en la carpeta de inicio común de Windows para permitir su ejecución automática cada vez que se inicia el sistema.

  Dettagli tecnici

Dimensione file: 191,439 bytes
Tipo di file: EXE
Data di ricezione campioni iniziali: 21 febbraio 2017

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\{malware filename}

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Agrega los procesos siguientes:

  • mode con cp select=1251
  • vssadmin delete shadows /all /quiet

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware filename} = "%System%\{malware filename}"

Este malware infiltra copias de sí mismo en la carpeta de inicio común de Windows para permitir su ejecución automática cada vez que se inicia el sistema.

Otros detalles

Sustituye los nombres de los archivos cifrados por los nombres siguientes:

  • {filename with extension of the encrypted file}.id-{assigned ID}.[amanda_sofost@india.com].wallet