BKDR_PLUGX.AG
Backdoor:Win32/Plugx.A (Microsoft)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.
TECHNICAL DETAILS
Instalación
Infiltra los archivos siguientes:
- %System Root%\Documents and Settings\All Users\SxS\bug.log
- %System Root%\Documents and Settings\All Users\SxSq\rc.exe
- %System Root%\Documents and Settings\All Users\SxSq\rc.hlp
- %System Root%\Documents and Settings\All Users\SxSq\rcdll.dll
- %User Temp%\{random number}.exe
- %User Temp%\2.doc
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Crea las carpetas siguientes:
- %System Root%\Documents and Settings\All Users\SxS
- %System Root%\Documents and Settings\All Users\SxSq
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.
Técnica de inicio automático
Registra el componente infiltrado como servicio del sistema para garantizar su ejecución automática cada vez que arranque el sistema. Para ello, crea las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Description = "SxSq"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
DisplayName = "SxSq"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ImagePath = ""%System Root%\Documents and Settings\All Users\SxSq\rc.exe" 200 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq
Type = "110"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\FAST
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxSq