Boltolog, Turko, Refroso

 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Backdoor

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet


  TECHNICAL DETAILS

Memory resident: Yes
PAYLOAD: Connects to URLs/IPs

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Windows%\microsoft.exe
  • %Windows%\mstwain32.exe
  • %Windows%\winlogon.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Agrega los siguientes archivos o componentes de archivos maliciosos:

  • %Windows%\cmsetac.dll
  • %Windows%\ntdtcstp.dll
  • %Windows%\KB8888239.log

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
mstwain32 = "%Windows%\mstwain32.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
microsoft = "%Windows%\microsoft.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
winlogon = "%Windows%\winlogon.exe"