BKDR_MOUDOOR.F
Backdoor:Win32/Moudoor.B (Microsoft), Backdoor.Win32.Inject.ycb (Kaspersky), Trojan.Gen.2 (Symantec), Gen:Variant.Zusy.5006 (FSecure), Trojan.Win32.Generic!BT (Sunbelt), PUA.Win32.Packer.InstallerVise (Clamav), W32/Farfli.NH (Fortinet), Win32.SuspectCrc (Ikarus), a variant of Win32/Farfli.NH trojan (NOD32), Trojan W32/Troj_Generic.CVLFB (Norman)
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
Backdoor
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Puede haberlo instalado manualmente un usuario.
Detalles técnicos
Detalles de entrada
Puede haberlo instalado manualmente un usuario.
Instalación
Este malware infiltra el/los siguiente(s) archivo(s):
- %User Temp%\up.bak
- %System%\KB{Random Numbers}.dat
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Se introduce en los siguientes procesos que se ejecutan en la memoria del sistema afectado:
- csrss.exe
- lsass.exe
Técnica de inicio automático
Agrega las siguientes líneas o entradas de registro como parte de su rutina:
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo