BKDR_SIMDA.SS

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Impide que los usuarios visiten sitios Web asociados a antivirus que contengan cadenas específicas.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Windows%\AppPatch\{random}.dat

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Se introduce en los siguientes procesos que se ejecutan en la memoria del sistema afectado:

• winlogon.exe
• explorer.exe

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• B0B2D5C3a

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
b0b2d6e3 = "%Windows%\AppPatch\{random}.dat"

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%Windows%\AppPatch\{random}.dat,"

(Note: The default value data of the said registry entry is "%System%\userinit.exe,".)

Otras modificaciones del sistema

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path}\{malware name}.exe = "{malware path}\{malware name}.exe:*:Enabled:Windows Explorer"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Disable operating system by modifying or deleting system files
• Activate/deactivate itself
• Inject scripts to a visited webpage
• Disable the infected system by deleting critical registry keys
• Download and execute arbitrary files
• Download updated configuration file
• Upload files
• Run or terminate applications
• Delete files
• Modify system settings
• Steal certificates

Rutina de infiltración

Este malware infiltra el/los siguiente(s) archivo(s), que utiliza para su rutina de captura de teclado:

• %User Profile%\Application Data\{random}
• %User Profile%\Application Data\{random1}

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Robo de información

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• IBANK
• ebank.laiki.com
• w.qiwi.ru
• login.yota.ru

Otros detalles

Cierra ventanas de aplicaciones que contienen las cadenas siguientes en la barra de título:

• ____AVP.Root

Impide que los usuarios visiten sitios Web asociados a antivirus que contengan las siguientes cadenas:

• avast.com
• kaspersky
• drweb
• eset.com
• antivir
• avira
• virustotal
• virusinfo
• z-oleg.com
• trendsecure
• anti-malware
• .comodo.com