BKDR_PLUGX
Microsoft: Plugx; Symantec: Korplug; Sophos: PlugX; Fortinet: PLUGX; Ikarus: Plugx; Eset: Korplug
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Este malware infiltra los siguientes archivos no maliciosos:
- %AppDataLocal%\VirtualStore\Program Files\Common Files\NvSmart.exe
- %AppDataLocal%\VirtualStore\Windows\system32\NvSmart.exe
- %ProgramData%\Gf\NvSmart.exe
- %ProgramData%\SxS\NvSmart.exe
- %ProgramData%\SxS\rc.exe
- %ProgramData%\SxSi\rc.exe
- %System Root%\Users\All Users\Gf\NvSmart.exe
- %System Root%\Users\All Users\SxS\NvSmart.exe
- %System Root%\Users\All Users\SxS\rc.exe
- %System Root%\Users\All Users\SxSi\rc.exe
- %System Root%\Users\All Users\UdpGf\NvSmart.exe
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Crea las carpetas siguientes:
- %ProgramData%\Gf
- %ProgramData%\SxS
- %ProgramData%\SxSi
- %System Root%\Users\All Users\Gf
- %System Root%\Users\All Users\SxS
- %System Root%\Users\All Users\SxSi
- %System Root%\Users\All Users\UdpGf
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
Description = "Gf"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
DisplayName = "Gf"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
ImagePath = ""%ProgramData%\Gf\NvSmart.exe" 200 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
Description = "SxS"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
DisplayName = "SxS"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
ImagePath = ""%ProgramData%\SxS\rc.exe" 200 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Description = "UdpGf"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Description = "UdpGf"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
DisplayName = "UdpGf"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
ImagePath = ""%ProgramData%\UdpGf\NvSmart.exe" 200 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
Description = "SxSi"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
DisplayName = "SxSi"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
ImagePath = "%ProgramData%\SxSi\rc.exe" 200 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
Type = "110"
Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\FAST
CLSID = "{hex values}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
FAST
CLSID = "{hex values}"
Agrega las siguientes claves de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\FAST
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
FAST
Rutina de infiltración
Infiltra los archivos siguientes:
- %AppDataLocal%\VirtualStore\Program Files\Common Files\NvSmartMax.dll
- %AppDataLocal%\VirtualStore\Program Files\Common Files\boot.ldr
- %AppDataLocal%\VirtualStore\Windows\system32\NvSmartMax.dll
- %AppDataLocal%\VirtualStore\Windows\system32\boot.ldr
- %ProgramData%\Gf\NvSmartMax.dll
- %ProgramData%\Gf\boot.ldr
- %ProgramData%\SxS\NvSmartMax.dll
- %ProgramData%\SxS\rc.hlp
- %ProgramData%\SxS\rcdll.dll
- %ProgramData%\SxSi\rc.hlp
- %ProgramData%\SxSi\rcdll.dll
- %System Root%\Users\All Users\Gf\NvSmartMax.dll
- %System Root%\Users\All Users\Gf\boot.ldr
- %System Root%\Users\All Users\SxS\NvSmartMax.dll
- %System Root%\Users\All Users\SxS\rc.hlp
- %System Root%\Users\All Users\SxS\rcdll.dll
- %System Root%\Users\All Users\SxSi\rc.hlp
- %System Root%\Users\All Users\SxSi\rcdll.dll
- %System Root%\Users\All Users\UdpGf\NvSmart.usr
- %System Root%\Users\All Users\UdpGf\NvSmartMax.dll
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)