BKDR_GETWAY.A
Backdoor:Win32/Small.EF (Microsoft), BackDoor-COS (McAfee), Troj/Bdoor-JE (Sophos), BDS/Instable (Antivir), W32/Goatway.B (F-Prot), Trojan horse BackDoor.Small.19.AN (AVG), W32/DLOADER.CT!tr.bdr (Fortinet), Trojan-Downloader.Win32.Small (Ikarus), Win32/Small.EF trojan (ESET)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de malware
Backdoor
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %Windows%\blah.exe
- %Windows%\twain32_.exe
- %System%\Sys_Run.exe
- %System%\waol.exe
- %Windows%\gateway.exe
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Run
DllLoader = "%Windows%\blah.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
CurrentVersion\Run
DllLoader = "%Windows%\blah.exe"
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Run
{random value} = "%Windows%\twain32_.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
CurrentVersion\Run
{random value} = "%Windows%\twain32_.exe"
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Run
CreateLive = "%System%\waol.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
CurrentVersion\Run
CreateLive = "%System%\waol.exe"
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Run
gateway = "%Windows%\gateway.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
CurrentVersion\Run
gateway = "%Windows%\gateway.exe"