BKDR_PLUGX.AG

Publish Date: 09 de października de 2012

Author: Rhena Inocencio

Backdoor:Win32/Plugx.A (Microsoft)

PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

OVER ALL RISK RATING:

DAMAGE POTENTIAL::

DISTRIBUTION POTENTIAL::

REPORTED INFECTION:

Low

Medium

High

Critical

Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
In the wild::
Yes

OVERVIEW

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

TECHNICAL DETAILS

File size: 302,627 bytes

File type: EXE

INITIAL SAMPLES RECEIVED DATE: 01 de sierpnia de 2012

Instalación

Infiltra los archivos siguientes:

%System Root%\Documents and Settings\All Users\SxS\bug.log
%System Root%\Documents and Settings\All Users\SxSq\rc.exe
%System Root%\Documents and Settings\All Users\SxSq\rc.hlp
%System Root%\Documents and Settings\All Users\SxSq\rcdll.dll
%User Temp%\{random number}.exe
%User Temp%\2.doc

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Crea las carpetas siguientes:

%System Root%\Documents and Settings\All Users\SxS
%System Root%\Documents and Settings\All Users\SxSq

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

Técnica de inicio automático

Registra el componente infiltrado como servicio del sistema para garantizar su ejecución automática cada vez que arranque el sistema. Para ello, crea las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Description = "SxSq"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
DisplayName = "SxSq"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ImagePath = ""%System Root%\Documents and Settings\All Users\SxSq\rc.exe" 200 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Type = "110"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\FAST

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq

BKDR_PLUGX.AG

OVERVIEW

TECHNICAL DETAILS

Zasoby

Wsparcie

O firmie Trend

BKDR_PLUGX.AG

OVERVIEW

TECHNICAL DETAILS

Zasoby

Wsparcie

O firmie Trend

Obie Ameryki

Bliski Wschód i Afryka

Europa

Azja i Pacyfik