BKDR_BIFROSE.WINN
Backdoor.Win32.Bifrose.fpi (Kaspersky), Backdoor:Win32/Bifrose.gen!E (Microsoft)
Windows
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:
- %User Profile%\Local Settings\wminsts.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Agrega los procesos siguientes:
- iexplorer.exe
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{UID}
HKEY_LOCAL_MACHINE\SOFTWARE\SKav
HKEY_CURRENT_USER\Software\SKav
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{UID}
stubpath = "%User Profile%\Local Settings\wminsts.exe s"
HKEY_LOCAL_MACHINE\SOFTWARE\SKav
nck = "{hex values}"
HKEY_CURRENT_USER\Software\SKav
klg = "00"