Analizzato da: Christopher Daniel So   
 

Mal/FakeAV-MQ (Sophos), W32/Kryptik!tr (Fortinet)

 Piattaforma:

Windows 2000, XP, Server 2003, Windows Vista, Windows 7

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Trojan

  • Distruttivo?:
    No

  • Crittografato?:
     

  • In the wild::

  Panoramica e descrizione


  Dettagli tecnici

Dimensione file: 403,968 bytes
Tipo di file: EXE
Residente in memoria:
Data di ricezione campioni iniziali: 15 dicembre 2011

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Application Data%\{random file name}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Infiltra los archivos siguientes:

  • %Application Data%\evbddw7f6atf7qed4htn3p130l6k
  • %System Root%\Documents and Settings\All Users\Application Data\evbddw7f6atf7qed4htn3p130l6k
  • %User Temp%\evbddw7f6atf7qed4htn3p130l6k
  • %User Profile%\Templates\evbddw7f6atf7qed4htn3p130l6k

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Finaliza la ejecución de la copia que ejecutó inicialmente y ejecuta en su lugar la copia que ha creado.

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\{random key}

HKEY_CLASSES_ROOT\.exe\DefaultIcon

HKEY_CLASSES_ROOT\.exe\shell

Agrega las siguientes entradas de registro:

HKEY_CLASSES_ROOT\{random key}
(Default) = "Application"

HKEY_CLASSES_ROOT\{random key}
Content Type = "application/x-msdownload"

HKEY_CLASSES_ROOT\{random key}\DefaultIcon
(Default) = "%1"

HKEY_CLASSES_ROOT\{random key}\shell\
open\command
(Default) = ""%Application Data%\{random file name}.exe" -a "%1" %*"

HKEY_CLASSES_ROOT\{random key}\shell\
open\command
IsolatedCommand = ""%1" %*"

HKEY_CLASSES_ROOT\{random key}\shell\
runas\command
(Default) = ""%1" %*"

HKEY_CLASSES_ROOT\{random key}\shell\
runas\command
IsolatedCommand = ""%1" %*"

HKEY_CLASSES_ROOT\.exe
Content Type = "application/x-msdownload"

HKEY_CLASSES_ROOT\.exe\DefaultIcon
(Default) = "%1"

HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%Application Data%\{random file name}.exe" -a "%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
open\command
IsolatedCommand = ""%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
runas\command
(Default) = ""%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
runas\command
IsolatedCommand = ""%1" %*"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = 1

Modifica las siguientes entradas de registro:

HKEY_CLASSES_ROOT\.exe
(Default) = "{random key}"

(Note: The default value data of the said registry entry is "exefile".)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%Application Data%\{random file name}.exe" -a "%Program Files%\Internet Explorer\iexplore.exe""

(Note: The default value data of the said registry entry is ""%Program Files%\Internet Explorer\iexplore.exe"".)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = 4

(Note: The default value data of the said registry entry is 2.)

Elimina las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv