BKDR_IRCBOT.BTG
Backdoor:Win32/IRCbot.gen!S (Microsoft), Trojan.Dropper (Symantec), W32/Sdbot.worm!g (McAfee), Backdoor.Win32.IRCBot.ixx (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %Windows%\system\msentale.exe
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
ImagePath = "%Windows%\system\msentale.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
DisplayName = "Microsoft Security"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
Description = "Microsoft Security"
Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
Otras modificaciones del sistema
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\system\msentale.exe = "%Windows%\system\msentale.exe:*:Enabled:Microsoft Enabled"