Análisis realizado por : Roland Marco Dela Paz   
 Alias

MonitoringTool:Win32/LanAgent (Microsoft)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Infección divulgada:
 Impacto en el sistema :
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Hacking Tool

  • Destructivo?
    No

  • Cifrado
    No

  • In the Wild:

  Resumen y descripción

Puede haberlo instalado manualmente un usuario.

  Detalles técnicos

Tamaño del archivo 4,910,592 bytes
Tipo de archivo PE
Residente en memoria No
Fecha de recepción de las muestras iniciales 11 May 2012

Detalles de entrada

Puede haberlo instalado manualmente un usuario.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

  • %User Profile%\Application Data\Microsoft\Installer\{B892B9BB-6FF7-431B-869A-25538F4B4BC1}\ARPPRODUCTICON.exe
  • %System%\sysuser\ChooseAdapter.exe
  • %System%\sysuser\CompShut.dat
  • %System%\sysuser\LOG\agent(date 18-40-36).xmd
  • %System%\sysuser\LOG\Service(date 18-40-35).xmd
  • %System%\sysuser\LOG\sniff(date 18-40-36).xmd
  • %System%\sysuser\LOG\sniff(date 18-43-00).xmd
  • %System%\sysuser\LOG\sniff(date 18-47-07).xmd
  • %System%\sysuser\NetMon.ltx
  • %System%\sysuser\settingsXML.dat
  • %System%\sysuser\svchost.exe
  • %System%\sysuser\sys.dat
  • %System%\sysuser\sys.dll
  • %System%\sysuser\system.exe
  • %System%\sysuser\Uninstall_pcap.exe
  • %System%\sysuser\wssfcmai.exe
  • %System%\WanPacket.dll

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Crea las carpetas siguientes:

  • %User Profile%\Application Data\Microsoft\Installer
  • %User Profile%\Application Data\Microsoft\Installer\{B892B9BB-6FF7-431B-869A-25538F4B4BC1}
  • %System%\sysuser
  • %System%\sysuser\caped
  • %System%\sysuser\LOG

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Installer

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
FileExts\.msi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{B892B9BB-6FF7-431B-869A-25538F4B4BC1}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MSSystem

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UpgradeCodes\847D7DD3F49289B4B9D53BFD28438101

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
Folders
%System%\sysuser\ = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
Folders
%System%\sysuser\Logs\ = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
Folders
%User Profile%\Application Data\Microsoft\Installer\{B892B9BB-6FF7-431B-869A-25538F4B4BC1} =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
Folders
%User Profile%\Application Data\Microsoft\Installer =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\SharedDlls
%System%\sysuser\Uninstall_pcap.exe = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\SharedDlls
%System%\sysuser\Install_pcap.exe = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\SharedDlls
%System%\sysuser\AdapterSelector.exe = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\SharedDlls
%System%\sysuser\system.exe = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\SharedDlls
%System%\sysuser\svchost.exe = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\SharedDlls
%System%\sysuser\SetRights.exe = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\SharedDlls
%System%\sysuser\ChooseAdapter.exe = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\SharedDlls
%System%\sysuser\wssfcmai.exe = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\SharedDlls
%System%\sysuser\sys.dll = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\SharedDlls
%System%\wpcap.dll = "2"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\SharedDlls
%System%\Packet.dll = "2"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\SharedDlls
%System%\WanPacket.dll = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\SharedDlls
%System%\pthreadVC.dll = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\sysuser\system.exe = "%System%\sysuser\system.exe:*:Enabled:SYSTEM"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
47658:TCP = "47658:TCP:*:Enabled:SYSTEM_TCP47658"

Este malware modifica la(s) siguiente(s) entrada(s)/clave(s) de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\Microsoft Office Document Image Writer
Attributes = "101"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Print\
Printers\Microsoft XPS Document Writer
Attributes = "141"

(Note: The default value data of the said registry entry is 40.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
Microsoft Office Document Image Writer
Attributes = "101"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Print\Printers\
Microsoft XPS Document Writer
Attributes = "141"

(Note: The default value data of the said registry entry is 40.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Epoch
Epoch = "84"

(Note: The default value data of the said registry entry is 82.)