Author: Cris Nowell Pantanilla   

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Backdoor

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

Requiere que su componente principal lleve a cabo correctamente la rutina deseada.

  TECHNICAL DETAILS

File size: 282,624 bytes
File type: DLL
Memory resident: No
INITIAL SAMPLES RECEIVED DATE: 02 czerwca 2015

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %All Users Profile%\Application Data\{random 1}\{random 2}.{random 3 characters}

Crea las carpetas siguientes:

  • %All Users Profile%\Application Data\{random 1}

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

  • csrss.exe
  • dwm.exe
  • lsass.exe
  • lsm.exe
  • regsvr32.exe
  • services.exe
  • smss.exe
  • svchost.exe
  • taskhost.exe
  • wininit.exe
  • winlogon.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random 1} = "regsvr32.exe "%All Users Profile%\Application Data\{random 1}\{random 2}.{random 3 characters}""

Otros detalles

Requiere que su componente principal lleve a cabo correctamente la rutina deseada.