Backdoor.Win32.REVCODE.THDBABO

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Application Data%\Downloads\Zoom.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Infiltra los archivos siguientes:

• %User Temp%\{random characters}.bat
• %Application Data%\Downloads\Zoom.exe:ZoneIdentifier

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Infiltra y ejecuta los archivos siguientes:

• %User Temp%\ZoomInstaller.exe
  (Legitimate Zoom installer)

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Agrega los procesos siguientes:

• %System%\notepad.exe "%Application Data%\Downloads\Zoom.exe"
• %User Temp%\{random characters}.bat

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• {malware fullpath}

Técnica de inicio automático

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio del usuario de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

• Zoom.vbs

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Add registry key
• Add registry value
• Change saved data on clipboard
• Clear clipboard
• Close all connections
• Copy file
• Delete file
• Delete key-log
• Delete registry key
• Delete registry value
• Download file
• Edit registry value
• Execute downloaded file
• Execute file
• Get all connections
• Get application list
• Get audio drivers list
• Get devices state list
• Get hardware information
• Get installed devices
• Get key-log information
• Get process list
• Get registry key list
• Get registry value list
• Get saved data on clipboard
• Get service list
• Get thumbnail
• Get webcam drivers
• Get webcam snapshot
• Open cmd
• Pause service
• PDG proxy start
• PDG proxy stop
• PDG screen stream start
• PDG screen stream stop
• Remote code execution
• Rename registry value
• Resume process
• Resume service
• Screen stream start
• Screen stream stop
• Set process priority
• SSL screen start
• SSL screen stop
• Start audio stream
• Start keylog stream
• Start service
• Start Wireless Access Point
• Stop audio stream
• Stop keylog stream
• Stop service
• Stop Wireless Access Point
• Suspend process
• Terminate process
• Uninstall application
• Uninstall service
• Upload file

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• https://213.{BLOCKED}.{BLOCKED}.96/recv7.php

Otros detalles

Hace lo siguiente:

• It terminates itself if the any of following processes is found:
  • aswidagent.exe
  • avastsvc.exe
  • avastui.exe
  • avgsvc.exe
  • avgui.exe
  • avp.exe
  • bdagent.exe
  • bdwtxag.exe
  • dwengine.exe
  • mpcmdrun.exe
  • msmpeng.exe
  • nissrv.exe
  • ollydbg.exe
  • procexp.exe
  • procexp64.exe
  • procmon.exe
  • procmon64.exe
  • windbg.exe
• It terminates itself when executed in the following Virtual Environments:
  • Kernel-based Virtual Machine
  • Microsoft Hypervisor
  • Parallels Hypervisor
  • VirtualBox
  • VMware
  • Xen Virtual Machine Manager
• It terminates itself if its file name is found similar to any of the following:
  • malware
  • sample
  • sandbox
• It gathers the following information:
  • Battery Information
    • Estimated Charge Remaining
    • Estimated Runtime
  • Computer Information
    • Domain
    • Last Bootup
    • Name
    • Uptime
    • Username
  • Desktop Monitor Information
    • Screen Height
    • Screen Width
  • Memory Information
    • RAM Capacity
    • RAM Manufacturer
    • RAM Speed
  • Network Adapter Configuration
    • MAC Address
    • LAN IP
  • OS Information
    • Architecure
    • Build Number
    • Language
    • Version
  • Processor Information
    • Max Clock Speed
    • Processor Name
  • Video Controller Information
    • Driver Version
    • Name