WORM_NITOL.BI
W32/QQhelper.C.gen!Eldorado (FProt), Backdoor.Win32.Inject (Ikarus), DDoS:Win32/Nitol.B (Microsoft), a variant of Win32/ServStart.AD trojan (NOD32), Backdoor.Nitol (Norton), Trojan.Win32.Redosdru.C (v) (Sunbelt)
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
Worm
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Este malware se elimina tras la ejecución.
Detalles técnicos
Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4
ImagePath = %SystemRoot%\System32\svchost.exe -k netsvcs
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4\Parameters
ServiceDll = "%System%\{random filename}.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4\Parameters
ServiceMain = "StartRouter"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4\Security
Security = "{random numbers}"
Otros detalles
Este malware define los atributos del/de los siguiente(s) archivo(s) como Oculto y Sistema:
- %System%\lpk.dll
- %System%\dllcache\lpk.dll
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Este malware se elimina tras la ejecución.