BKDR_KELIHOS
Waledac
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Agrega los siguientes archivos o componentes de archivos maliciosos:
- {All User's Profile}\Application Data\boost_interprocess\{Date and Time of infection}\GoogleImpl
Crea las carpetas siguientes:
- %System Root%\All Users\Application Data\boost_interprocess
- %System Root%\All Users\Application Data\boost_interprocess\{current date and time}
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SmartIndex = "{malware path and file name}"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Google
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Google
ID = "50"
HKEY_CURRENT_USER\Software\Google
ID2 = "{random values}"
HKEY_CURRENT_USER\Software\Google
ID3 = "{random values}"
HKEY_CURRENT_USER\Software\Google
AppID = "{random characters}"
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "{malware path and file name}:*:Enabled:{file name}"