BKDR_PCCLIENT.ZX
Backdoor:Win32/PcClient.BR (Microsoft), W32/PCCLIENT.ZX!tr.bdr (Fortinet)
Windows 2000, XP, Server 2003
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Ejecuta los archivos que infiltra mediante peticiones al sistema afectado, que realiza las rutinas maliciosas que contienen.
TECHNICAL DETAILS
Instalación
Infiltra los archivos siguientes:
- %Application Data%\e.mpg
- %Application Data%\ggd.exe
- %Application Data%\pgd.bat
- %Application Data%\q.mpg
- %Application Data%\r.mpg
- %Application Data%\w.mpg
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Técnica de inicio automático
Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
Network Sharing Media = "%programfiles%\Windows Media Player\Network Sharing\Network Media Update.exe ,Media Network Sharing"
Rutina de infiltración
Infiltra los archivos siguientes:
- %Program Files%\Windows Media Player\Network Sharing\Network Media Update.exe - detected as BKDR_PCCLIENT.ZU
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
)Ejecuta los archivos que infiltra mediante peticiones al sistema afectado, que realiza las rutinas maliciosas que contienen.