ELF_MOKES.A

Ejecuta determinados comandos que recibe de forma remota desde un usuario malicioso. De esta forma pone en gran peligro el equipo afectado y la información del mismo.

Instalación

Infiltra los archivos siguientes:

• $HOME/.config/autostart/$filename.desktop -> to execute itself every system startup

Infiltra y ejecuta los archivos siguientes:

• File may be dropped in any of the following locations:
  $Home/.local/share/.dropbox/DropboxCache
  $Home/.local/share/.mozilla/firefox/profiled

Este malware infiltra los siguientes archivos no maliciosos:

• {malware dropped copy folder}\version - contains malware version and full path of the dropped copy

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Keylogging and monitors mouse inputs
• Capture screenshots
• Capture audio

Rutina de infiltración

Este malware infiltra el/los siguiente(s) archivo(s), en el cual/los cuales guarda la información recopilada:

• %User Temp%\ss0-{Date}-{Time}-{ms}.sst (Captured Screenshots)
• %User Temp%\aa0-{Date}-{Time}-{ms}.aat (Captured Audio, WAV)
• %User Temp%\kk0-{Date}-{Time}-{ms}.kkt (Keylogs)
• %User Temp%\dd0-{Date}-{Time}-{ms}.ddt (Arbitrary Data)

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).