BKDR_CFISH.A

Este malware puede haberlo descargado otro malware desde sitios remotos.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Detalles de entrada

Este malware puede descargarlo desde sitio(s) remoto(s) el malware siguiente:

• TROJ_CFISH.A

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %Application Data%\{Random hex values}\chrome.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Este malware infiltra el/los siguiente(s) archivo(s):

• %Application Data%\{Random hex values}\{Random values} ← contains the CnC server
• %Application Data%\{Random hex values}\{Random values} ← contains the modules to download(Keylogger|PasswordStealer|ReverseVNC)

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Crea las carpetas siguientes:

• %Application Data%\{Random Hex Values}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
chrome = %Application Data%\{Random hex values}\chrome.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
chrome = %Application Data%\{Random hex values}\chrome.exe

Infiltra los archivos siguientes:

• %User Startup%\chrome.lnk ← Target path = %Application Data%\{Random hex values}\chrome.exe
• %All Users Profile%\Microsoft\Windows\Start Menu\Programs\Startup\chrome.lnk ← For Win7
• %All Users Profile%\Start Menu\Programs\Startup\chrome.lnk ← For WinXP

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Add, remove, or execute modules
• Download and execute files
• Change CnC server
• Execute commands in command line
• Display a message box
• Shutdown the machine
• Update itself
• Uninstall itself

Rutina de descarga

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Otros detalles

Requiere la existencia de los archivos siguientes para ejecutarse correctamente:

• %User Temp%\GID.dat

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).