Trojan.Win32.PHORPIEX.R06CC0DJU23

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Se conecta a un sitio Web para enviar y recibir información.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

• %User Profile%\tbnds.dat
• F:\{disk name} ({disk free space}GB).lnk → detected as Trojan.LNK.RUNNER.B
• %User Profile%\win{7 random alphabet characters} → copy of %User Temp%\{10 random numbers}.exe
• %Windows%\win{7 random alphabet characters} → copy of %User Temp%\{10 random numbers}.exe

Infiltra y ejecuta los archivos siguientes:

• %User Temp%\{10 random numbers}.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Windows%\sysplorsv.exe
• F:\.\VolDriver.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Agrega los procesos siguientes:

• %Windows%\sysplorsv.exe
• %User Temp%\{10 random numbers}.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Crea las carpetas siguientes:

• F:\. → hidden

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• 3444rrre
• 333x3333x3

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Settings = %Windows%\sysplorsv.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Settings = %Windows%\win{7 random alphabet characters}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Settings = %User Profile%\win{7 random alphabet characters}

Otras modificaciones del sistema

Elimina los archivos siguientes:

• Files found in the removable and/or network drive with the following extension:
  • .lnk
  • .vbs
  • .js
  • .scr
  • .com
  • .jse
  • .cmd
  • .pif
  • .jar
  • .dll
  • .vbe
  • .bat
  • .inf

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiSpywareOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

Rutina de puerta trasera

Se conecta a los sitios Web siguientes para enviar y recibir información:

• {BLOCKED}.{BLOCKED}.{BLOCKED}.125:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.159:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.65:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.23:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.56:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.244:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.35:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.26:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.78:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.21:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.238:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.98:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.23:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.76:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.209:40500
• {BLOCKED}.{BLOCKED}.{BLOCKED}.155:40500

Rutina de descarga

Este malware descarga el archivo desde la siguiente URL y le cambia el nombre al almacenarlo en el sistema afectado:

• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.66/1
• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.66/2
• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.66/3
• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.66/_1
• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.66/_2
• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.66/_3
• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.66/4
• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.66/5
• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.66/6
• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.66/7
• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.66/8

Guarda los archivos que descarga con los nombres siguientes:

• %User Temp%\{10 random numbers}.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Robo de información

Recopila los siguientes datos:

• System Locale
• Disk Information

Otros detalles

Hace lo siguiente:

• It avoids deleting files with the following strings in their filename:
  • Thumbs.db
  • desktop.ini
  • $RECYCLE.BIN
  • System Volume Information
  • {disk name} ({disk free space}GB).lnk
• It deletes the origin of itself and its downloaded files from where it was downloaded.
• It terminates itself if the system locale is Ukrainian.
• It sets the attributes of its dropped copy to READONLY and HIDDEN
• It hides and destroys files in the removable and/or network drive.