Alias

Kuluoz, Fakeavlock, Zortob

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Este malware se elimina tras la ejecución.

  Detalles técnicos

Residente en memoria
Carga útil Drops files

Instalación

Infiltra los archivos siguientes:

  • {Malware Path and Filename}.txt

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Application Data%\{random}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Agrega los procesos siguientes:

  • Svchost.exe

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

  • Created svchost.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\SOFTWARE\{random}

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\{random}.exe"

HKEY_CURRENT_USER\SOFTWARE\{random}
{random} = "{hex values}"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • idl- Sleep / Idle
  • run- Download and execute arbitrary file
  • rem- Uninstall itself
  • rdl- Update copy of injected code in svchost and add encrypted code to registry
  • upd- Update copy of main malware
  • red- Check latest malware version

Otros detalles

Este malware se elimina tras la ejecución.

Relacionado entradas de blog