Author: Mark Joseph Manahan   
 

Backdoor.Trojan (Symantec), RDN/Generic.dx!c2j (McAfee), BehavesLike.Win32.Malware.wsc (mx-v) (Sunbelt)

 PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Backdoor

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW


  TECHNICAL DETAILS

File size: 208,896 bytes
File type: EXE
Memory resident: No
INITIAL SAMPLES RECEIVED DATE: 27 de декабря de 2013

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

  • %Windows%\Wmiservjuc.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WWC
ImagePath = "%Windows%\Wmiservjuc.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WWC
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WWC
DisplayName = "Windows Web Client"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WWC
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WWC
Type = "16"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WWC
Description = Windows Applications to access the Inter(R) Management and Security Application using its locally-available selected network interfaces.

Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WWC

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WWC\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WWC\Enum