TROJ_NITOL.CU
DDoS:Win32/Nitol.A (Microsoft); Trojan.Win32.ServStart (Ikarus); Trojan.Nitol.A 20150703 (CAT-QuickHeal); TrojWare.Win32.Nitol.AHQ (Comodo); Trojan.Win32.Nitol.b (v) (AVware)
Windows
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Este malware se elimina tras la ejecución.
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %WINDOWS%\{random filename}.exe
Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Stuvwx Abcdefgh Jkl
ImagePath = "%WINDOWS%\{random filename}.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Stuvwx Abcdefgh Jkl
DisplayName = "Stuvwx Abcdefgh Jklmnopq Stuv"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Stuvwx Abcdefgh Jkl
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Stuvwx Abcdefgh Jkl
Description = "Stuvwxya Cdefghijk Mnopqrs Uvwxyabc Efg"
Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Stuvwx Abcdefgh Jkl
Otros detalles
Este malware se elimina tras la ejecución.