BKDR_KOOBFACE
Dursg, VBInject, Usuge, VBKrypt, Koobfa, Autorun
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Infiltra los archivos siguientes:
- %System%\clbcoko.dll
- %System%\drivers\imapioko.sys
- %System%\drivers\mrxoko.sys
- %System%\erokosvc.dll
- %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome.manifest
- %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome\content\timer.xul
- %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\install.rdf
- %User Temp%\tmp
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Crea las siguientes copias de sí mismo en el sistema afectado:
- %System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe
- %User Profile%\Application Data\SystemProc\lsass.exe
- %User Profile%\Application Data\system\svchost.exe
- %User Profile%\Application Data\system\verona\copy
- %User Profile%\Application Data\system\verona\load_me.exe
- %Windows%\ld03.exe
- %Windows%\ld04.exe
- {malware folder}\{malware file name}.exe
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).)Crea las carpetas siguientes:
- %System Root%\Documents and Settings\All Users\Application Data\mplf
- %User Profile%\Application Data\SystemProc
- %User Profile%\Application Data\system
- %User Profile%\Application Data\system\verona
- %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}
- %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome
- %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome\content
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
sysldtray = "%Windows%\ld03.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
sysldtray = "%Windows%\ld04.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
RTHDBPL = "%User Profile%\Application Data\SystemProc\lsass.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Intel Management Services v32 = "%System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}
StubPath = "%System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
wupd32 = "%User Profile%\Application Data\system\svchost.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
xMyDate
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}
HKEY_CURRENT_USER\Software\verona_4l
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ql600oko
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\swoko
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\apto6ko
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\cpqoko6
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Identities
Curr version = "{number}"
HKEY_CURRENT_USER\Identities
Last Date = "{date}"
HKEY_CURRENT_USER\Identities
Inst Date = "{date}"
HKEY_CURRENT_USER\Identities
Popup count = "{number}"
HKEY_CURRENT_USER\Identities
Popup time = "{number}"
HKEY_CURRENT_USER\Identities
Popup date = "{number}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\internet explorer\iexplore.exe = "%Program Files%\internet explorer\iexplore.exe:*:Enabled:Internet Explorer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
TI = "{number}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
TP = "{number}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
termsvc = "{hex value}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
tapisrvs = "{hex value}"