TROJ_KRYPTIK
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam. Llega como archivo que exporta las funciones de otro malware/grayware/spyware. Llega como componente integrado en paquetes de malware/grayware/spyware.
TECHNICAL DETAILS
Detalles de entrada
Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.
Llega como archivo que exporta las funciones de otro malware/grayware/spyware.
Llega como componente integrado en paquetes de malware/grayware/spyware.
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- {malware path}\{malware file name}
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = "{malware path}\{malware file name}"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "{malware path and file name}.exe:*:Enabled:ldrsoft"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = "no"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"
Rutina de antivirus falso
Muestra los siguientes avisos falsos:
- Failed to read system files configuration. Start a system diagnostics application to scan your hard disk for errors and performance problems.
- A performance problem with one or more installed IDE / SATA hard drives has been detected. System restart is highly recommended.
- Un error ocurrio durante la lectura de los ficheros del sistema. Ejecute la utilidad diagnostica del sistema para chequear su unidad del disco duro para errores.
- El sistema ha detectado un problema con uno o mas IDE / SATA discos duros instalados. Vd. esta aconsejado a reiniciar el sistema.
- Ein Fehler beim Lesen Systemdateien eingetreten. Fuhren Sie ein Diagnoseprogramm fur Fehlerbestimmung durch.
- Das System hat ein Problem mit einem oder mehreren installierten IDE / SATA-Festplatten erkannt. Es wird empfohlen, das System neu zu starten.
- Errore durante la lettura di file di sistema Lanciate l'utilita di diagnostica del sistema per verificare il hard disk per gli errori.
- Il sistema ha rilevato un problema con uno o pi? hard disk IDE / SATA istallati. Si raccomanda di riaccendere il sistema.
- utilitaire de diagnostique du systeme pour detecter les erreurs sur votre disque dur.
- Le systeme a detecte un probleme avec un ou plusieurs disques durs IDE / SATA installes. Nous vous recommandons de redemarrer votre systeme.
- Sistem dosyalar? okuma s?ras?nda hata olusmustur. Sistem tan?mlama yard?mc? program?n? sabit disk surucusunu kontrol etmek icin baslay?n.
- Sistem yuklenmis bir veya fazlas? olan IDE / SATA sabit disklerde hatay? tespit etti. Sisteminizi yeniden baslatman?z tavsiye edilir.