BKDR_ANDROM.ZE
Mal/Generic-L (Sophos) ,Trojan horse Zbot.FFF (AVG) ,W32/Wauchos.X!tr.dldr (Fortinet) ,Worm.Win32.Gamarue (Ikarus) ,Backdoor.Win32.Androm.bmjb (Kaspersky) ,Worm:Win32/Gamarue.I (Microsoft) ,RDN/Downloader.a!oy (McAfee) ,Win32/TrojanDownloader.Wauchos.X trojan (Eset) ,Backdoor.Trojan (Symantec) ,Generic (Panda) ,Trojan.Win32.Generic!BT (Sunbelt)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Realiza escuchas en los puertos.
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %ProgramData%\explorer.exe (Windows Vista and 7 only)
- %All Users Profile%\explorer.exe
- %All Users Profile%\{random}.exe
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Start WingMan Profiler = "%All Users Profile%\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
540 = "%All Users Profile%\{random}.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Start WingMan Profiler = "%ProgramData%\explorer.exe" (Windows Vista and 7 only and if Java update is disabled in startup)
Otras modificaciones del sistema
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "{malware path and file name}:*:Enabled:{malware file name}"
Rutina de puerta trasera
Realiza escuchas en los puertos siguientes:
- 3232