TROJ_KOVTER.CP
Trojan:Win32/Kovter!rfn (Microsoft); Trojan.Win32.Inject.qfv (Kaspersky)
Windows
Tipo di minaccia informatica:
Trojan
Distruttivo?:
No
Crittografato?:
In the wild::
Sì
Panoramica e descrizione
Elimina entradas de registro para causar el funcionamiento incorrecto de aplicaciones y programas.
Dettagli tecnici
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- "%AppDataLocal%\{random 1}\{random 1}.exe"
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
{random 1} = "%AppDataLocal%\{random 1}\{random 1}.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random 1} = "%AppDataLocal%\{random 1}\{random 1}.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\{random key 1}
HKEY_LOCAL_MACHINE\SOFTWARE\{random key 2}
HKEY_CURRENT_USER\Software\{random key 1}
HKEY_CURRENT_USER\Software\{random key 2}
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\{random key 1}
1 = "%AppDataLocal%\{random 1}\{random 1}.exe"
HKEY_CURRENT_USER\Software\{random key 1}
2 = "{random values}"
HKEY_CURRENT_USER\Software\{random key 1}
3 = "{random values}"
HKEY_CURRENT_USER\Software\{random key 1}
4 = "{random values}"
HKEY_CURRENT_USER\Software\{random key 1}
7 = "{random key 2}"
HKEY_LOCAL_MACHINE\SOFTWARE\{random key 1}
1 = "%AppDataLocal%\{random 1}\{random 1}.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\{random key 1}
2 = "{random values}"
HKEY_LOCAL_MACHINE\SOFTWARE\{random key 1}
3 = "{random values}"
HKEY_LOCAL_MACHINE\SOFTWARE\{random key 1}
4 = "{random values}"
HKEY_LOCAL_MACHINE\SOFTWARE\{random key 1}
7 = "{random key 2}"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer\
CodeIdentifiers\0\Paths\
{GUID}
ItemData = "{path of installed AV or Virtual Application }"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer\
CodeIdentifiers\0\Paths\
{GUID}
SaferFlags = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = "1"
Elimina las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
sermouse.sys
(Default) = "Driver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
PlugPlay
(Default) = "Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
vga.sys
(Default) = "Driver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
{GUID}
(Default) = "CD-ROM Drive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
{GUID}
(Default) = "Keyboard"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
{GUID}
(Default) = "Mouse"