BKDR_AGENT.ZXSQ
Windows 2000, XP, Server 2003
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Abre un puerto aleatorio para que un usuario remoto pueda conectarse al sistema afectado. Una vez se ha establecido la comunicación correctamente, el usuario remoto ejecuta los comandos en el sistema afectado.
TECHNICAL DETAILS
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ccEvtMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ccPwdSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ccPxySvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NISUM
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SymEvent
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SYMTDI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\VFILT
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
FileExts\.dll\OpenWithProgids
dllfile =
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\rundll32.exe = %System%\rundll32.exe:*:Enabled:rundll32
Rutina de puerta trasera
Abre un puerto aleatorio para que un usuario remoto pueda conectarse al sistema afectado. Una vez se ha establecido la comunicación correctamente, el usuario remoto ejecuta los comandos en el sistema afectado.