POISONIVY
Poison, Inject, Darkmoon, Beasty, Injector
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Infiltra los archivos siguientes:
- %System Root%\asf
- %Application Data%\2019\BG.bat.lnk
- %Application Data%\2019\Pr0c3xp.lnk
- %Application Data%\2019\Tcpview.lnk
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).)Crea las siguientes copias de sí mismo en el sistema afectado:
- %Application Data%\2019\svchost .exe
- %User Profile%\Local Settings\FastUserSwitchingCompatibility.exe
- %System%\2019\svchost .exe
- %User Startup%\wuauclt.exe
- {malware path}\{malware name}.exe
- %System%:netmansykey.exe - Alternate Data Stream (ADS) copy
- %System%:sysfilevpn.exe - Alternate Data Stream (ADS) copy
- %System%:GoogleLive.exe - Alternate Data Stream (ADS) copy
- %System%:systemPErro.exe - Alternate Data Stream (ADS) copy
- %System%:mcarmy.exe - Alternate Data Stream (ADS) copy
- %System%:msfullcomen.exe - Alternate Data Stream (ADS) copy
- %System%:msjbvpncon.exe - Alternate Data Stream (ADS) copy
- %System%:mskeypro.exe - Alternate Data Stream (ADS) copy
- %System%:mssendfull.exe - Alternate Data Stream (ADS) copy
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).. %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).)Crea las carpetas siguientes:
- %System Root%\dfed
- %Application Data%\2019
- %System%\2019
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
adobe = "{malware path}\{malware name}.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Google LiveUpdates = "%System%:GoogleLive.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
FastUserSwitchingCompatibility = "%User Profile%\Local Settings\FastUserSwitchingCompatibility.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{6E9647F9-B5DB-BD95-B627-79E92947CF09}
StubPath = "%System%:netmansykey.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{0082ABF9-9309-614B-C2DD-C00CC33A8073}
StubPath = "%System%:mssendfull.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{9E41174A-B99F-F49D-5CD0-0EF87DF3A162}
StubPath = "%System%:msjbvpncon.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{2580E7A2-880C-351F-B4DC-8320A4AB551C}
StubPath = "%System%:mskeypro.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{343F94C0-7BF8-95A0-9892-DE5C539F2AF8}
StubPath = "%System%:msfullcomen.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{180DA249-E241-D1EA-A5D6-E400EFEC204F}
StubPath = "%System%:mcarmy.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{014B0426-0DD3-D064-ED11-840B72A6498C
StubPath = "%System%:sysfilevpn.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{107D84CE-A965-12B5-A884-16BB63414DF0}
StubPath = "%System%:systemPErro.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
Recent File List
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
Settings
HKEY_CURRENT_USER\Software\ations
HKEY_CURRENT_USER\Software\ations\
Recent File List
HKEY_CURRENT_USER\Software\ations\
Settings
Modifica las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders
Startup = "%System%\2019"
(Note: The default value data of the said registry entry is %User Startup%.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
User Shell Folders
Startup = "%System%\2019"
(Note: The default value data of the said registry entry is %User Startup%.)