BKDR_FYNLOS.RUI

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Instalación

Infiltra los archivos siguientes:

• %User Temp%\azerty.exe - also detected as BKDR_FYNLOS.RUI

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Infiltra y ejecuta los archivos siguientes:

• %User Temp%\svchost.exe - non-malicious file used by this backdoor for code injection

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• DC_MUTEX-JDDR2RQ

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• svchost.exe - dropped file

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Microsoft\Windows\CurrentVersion\
Run
#nume# = "%Application Data%\#rundll32.exe#"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\DC3_FEXEC

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Lessen system security level
• List disk drives
• List webcams and monitor/capture video
• Change MSN Messenger status & modify contact list
• Shutdown, Restart, Log off or Lock computer
• Empty Recycle Bin
• Visit arbitrary C&C servers
• List active windows
• Remote shell command
• Download and execute files
• Download updated copy of itself
• Upload files
• Log keystrokes
• Refresh or delete logs
• Modify system's host file
• Record and play sounds
• Open and close CD-ROM drive door
• Steal passwords
• Get torrent files
• Refresh Wifi
• Uninstall programs
• Start and control chat sessions
• Monitor activity by Remote Desktop Protocol
• DDOS Flooding
• Manipulate the following:
• • Browser
• • Clipboard
• • Desktop
• • Dialog Box
• • Files
• • Folders
• • Mouse clicks
• • Processes
• • Registries
• • Services
• • Shutdown button options
• • Start button
• • System clock
• • System tray
• • Taskbar

Rutina de infiltración

Este malware infiltra el/los siguiente(s) archivo(s), que utiliza para su rutina de captura de teclado:

• %Application Data%\dclogs\{Current Date}-{number}.dc

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Robo de información

Recopila los siguientes datos:

• Admin rights
• Computer/User name
• Language/Country
• Operating System information
• Network configuration
• Screen Resolution