BKDR_RESDRO.AG

Publish Date: 09 de października de 2012

Author: Cris Nowell Pantanilla

Trojan:Win32/Dynamer!dtc (Microsoft])

PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

OVER ALL RISK RATING:

DAMAGE POTENTIAL::

DISTRIBUTION POTENTIAL::

REPORTED INFECTION:

Low

Medium

High

Critical

Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes

OVERVIEW

TECHNICAL DETAILS

File size: różni się

File type: EXE

Memory resident: Yes

INITIAL SAMPLES RECEIVED DATE: 12 de czerwca de 2011

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

%System%\wsynolib.exe - also detected as BKDR_RESDRO.AG

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WsynoSvc
ImagePath = "%System%\wsynolib.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecFilter{1e6963ff-bfe3-4498-a94d-c0e5982071d7}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecFilter{4de0233b-3368-4763-aba8-6b9002734dc9}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecFilter{e788aac0-0854-464d-b3fe-e99614eaa5c8}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecISAKMPPolicy{d12ee85a-e3c4-468e-aadf-fbb0ad46d83b}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecNegotiationPolicy{667693ee-9ca9-4bf2-9d10-1b9b7c45057f}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecNegotiationPolicy{b40c384e-0a44-4b46-b14b-c194fa0e5e8f}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecNegotiationPolicy{e63e091a-cef1-4508-9e43-613f41485229}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecNFA{27339a81-2984-4141-82aa-bc8c14fc0844}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecNFA{4fb58661-b6d2-47d3-bc0b-42b4b9cddbde}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecNFA{724bfd81-4eda-44b5-99fb-ee1b7c6dcf7a}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecNFA{74f6ef6c-5bcd-426b-8e42-ca194feeac0f}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecPolicy{6344fe9c-c79b-444d-a90f-b589162416d5}

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\IPSec\
Policy\Local
ActivePolicy = "SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{6344fe9c-c79b-444d-a90f-b589162416d5}"

BKDR_RESDRO.AG

OVERVIEW

TECHNICAL DETAILS

Zasoby

Wsparcie

O firmie Trend

BKDR_RESDRO.AG

OVERVIEW

TECHNICAL DETAILS

Zasoby

Wsparcie

O firmie Trend

Obie Ameryki

Bliski Wschód i Afryka

Europa

Azja i Pacyfik