Análisis realizado por : Jasen Sumalapao   
 Alias

Backdoor:Win32/Moudoor.B (Microsoft), Backdoor.Win32.Inject.ycb (Kaspersky), Trojan.Gen.2 (Symantec), Gen:Variant.Zusy.5006 (FSecure), Trojan.Win32.Generic!BT (Sunbelt), PUA.Win32.Packer.InstallerVise (Clamav), W32/Farfli.NH (Fortinet), Win32.SuspectCrc (Ikarus), a variant of Win32/Farfli.NH trojan (NOD32), Trojan W32/Troj_Generic.CVLFB (Norman)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Backdoor

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Puede haberlo instalado manualmente un usuario.

  Detalles técnicos

Tamaño del archivo 116,736 bytes
Tipo de archivo EXE, DLL
Fecha de recepción de las muestras iniciales 30 Jul 2012

Detalles de entrada

Puede haberlo instalado manualmente un usuario.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

  • %User Temp%\up.bak
  • %System%\KB{Random Numbers}.dat

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Se introduce en los siguientes procesos que se ejecutan en la memoria del sistema afectado:

  • csrss.exe
  • lsass.exe

Técnica de inicio automático

Agrega las siguientes líneas o entradas de registro como parte de su rutina:

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo