Author: John Rainier Navato   
 

UDS:Backdoor.MSIL.NanoBot.gen (KASPERSKY)

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet, Eliminado por otro tipo de malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  TECHNICAL DETAILS

File size: 238,400 bytes
File type: EXE
INITIAL SAMPLES RECEIVED DATE: 30 de kwietnia de 2024
PAYLOAD: Connects to URLs/IPs, Drops files, Modifies system registry

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

  • %User Startup%\fc2_all_trl.vbs
  • %User Temp%\{Random}.tmp
  • %User Temp%\{Random}.tmpdb

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows 2003(32-bit), XP y 2000(32-bit) en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio y en en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Application Data%\fc2_all_trl.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

)

Agrega los procesos siguientes:

  • {Malware File Path}\{Malware File Name}.{Malware File Extension}

Otras modificaciones del sistema

Agrega las siguientes claves de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Office\15.0\Outlook\
Profiles\Outlook
9375CFF0413111d3B88A00104B2A6676 =

HKEY_CURRENT_USER\Software\Microsoft\
Office\16.0\Outlook\
Profiles\Outlook
9375CFF0413111d3B88A00104B2A6676 =

HKEY_CURRENT_USER\Software\Microsoft\
Office\17.0\Outlook\
Profiles\Outlook
9375CFF0413111d3B88A00104B2A6676 =

HKEY_CURRENT_USER\Software\Microsoft\
Office\18.0\Outlook\
Profiles\Outlook
9375CFF0413111d3B88A00104B2A6676 =

HKEY_CURRENT_USER\Software\Microsoft\
Office\19.0\Outlook\
Profiles\Outlook
9375CFF0413111d3B88A00104B2A6676 =

HKEY_CURRENT_USER\Software\Microsoft\
Office\20.0\Outlook\
Profiles\Outlook
9375CFF0413111d3B88A00104B2A6676 =

HKEY_CURRENT_USER\Software
c4becaaba4cfc716 =

Otros detalles

It connects to the following possibly malicious URL:

  • https://{BLOCKED}rallic.com
  • https://{BLOCKED}rallic.com/condor/Gqwpkmu.pdf
  • http://{BLOCKED}cr.org/