BKDR_CINDYC.D

Puede haberlo infiltrado otro malware.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Detalles de entrada

Puede haberlo infiltrado el malware siguiente:

• TROJ_MDROP.TOL

Instalación

Infiltra los archivos siguientes:

• %User Profile%\Local Settings\help.dll - also detected as BKDR_CINDYC.D
• %User Profile%\Local Settings\tmp.bak - also detected as BKDR_CINDYC.D
• %User Temp%\~ATEMP.CPL - also detected as BKDR_CINDYC.D
• %User Temp%\~ATEMP.CPL.bak - also detected as BKDR_CINDYC.D
• %User Temp%\help32.dll - also detected as BKDR_CINDYC.D

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Agrega los procesos siguientes:

• svchost.exe

Su componente DLL se inyecta en el(los) siguiente(s) proceso(s):

• svchost.exe

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• IMSCMig

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer\run
IMSCMig = "Rundll32.EXE %User Profile%\Local Settings\help.dll,NotifyLogonUser"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\ts

HKEY_CURRENT_USER\Software\ts\
explorer

HKEY_CURRENT_USER\Software\ts\
explorer\run

HKEY_CURRENT_USER\Software\ts\
NonEnum

HKEY_CURRENT_USER\Software\ts\
Ratings

HKEY_CURRENT_USER\Software\ts\
system

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer\run

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software
{random number} = "F0F996E3"

HKEY_CURRENT_USER\Software
key = "1"

HKEY_CURRENT_USER\Software\ts\
explorer\run
IMSCMig = "Rundll32.EXE %User Profile%\Local Settings\help.dll,NotifyLogonUser"

HKEY_CURRENT_USER\Software\ts\
NonEnum
{0DF44EAA-FF21-4412-828E-260A8728E7F1} = "20"

HKEY_CURRENT_USER\Software\ts\
NonEnum
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = "40000021"

HKEY_CURRENT_USER\Software\ts\
NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = "1"

HKEY_CURRENT_USER\Software\ts\
system
dontdisplaylastusername = "0"

HKEY_CURRENT_USER\Software\ts\
system
legalnoticecaption = ""

HKEY_CURRENT_USER\Software\ts\
system
legalnoticetext = ""

HKEY_CURRENT_USER\Software\ts\
system
shutdownwithoutlogon = "1"

HKEY_CURRENT_USER\Software\ts\
system
undockwithoutlogon = "1"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Capture screen, audio, and webcam
• Download files
• Get drive information
• Get system information
• List active ports
• Lock workstation
• Log keystrokes
• Log off user
• Monitor browsing habits
• Manage files and folders
• Manage open windows
• Manage passwords
• Manage registry, processes, services, devices, and installed applications
• Perform multiple simultaneous transfers
• Perform remote shell
• Relay server
• Restart/Reboot system
• Share servers
• Update, restart, terminates itself

Publica la siguiente información en su servidor de mando y control (C&C):

• Computer name
• Drive information
• Operating system information
• Processor speed
• RAM Information
• Saved email password
• Saved email address
• Service pack information
• System settings
• User name and cached password