Alias

Rabasheeta

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Backdoor

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Este malware se elimina tras la ejecución.

  Detalles técnicos

Residente en memoria
Carga útil Compromises system security, Downloads files, Executes files

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

  • {malware path}\cfg.dat
  • %AppDataLocal%\Microsoft\iesys\cfg.dat
  • %AppDataLocal%\Microsoft\iesys\iesys.exe
  • {malware path}\del.bat

Crea las carpetas siguientes:

  • %AppDataLocal%\Microsoft\iesys

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware filename}.exe = "{malware path}\{malware filename}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
iesys = "%AppDataLocal%\Microsoft\iesys\iesys.exe"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Capture screenshots
  • Download files
  • Upload files
  • Enumerate files and folders
  • Execute files
  • Get default Internet browser
  • Navigate and open a URL in a hidden browser
  • Log user keystrokes and mouse clicks
  • Update self
  • Update configuration file
  • Update bulletin thread used
  • Sleep for a specified amount of time
  • Remove self from system

Otros detalles

Este malware se elimina tras la ejecución.