BKDR_VAWTRAK.YUYAMY
Backdoor:Win32/Vawtrak.A (Microsoft), Backdoor.Win32.Papras.zhm (Kaspersky)
Windows
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Ejecuta determinados comandos que recibe de forma remota desde un usuario malicioso. De esta forma pone en gran peligro el equipo afectado y la información del mismo.
TECHNICAL DETAILS
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename} = "regsvr32.exe "%Program Data%\{random}\{random}.{3 random character}"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
TabProcGrowth = 0
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = 1
HKEY_CURRENT_USER\Software\{CLSID}
{random value} = "{hex values}"
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Log keystrokes
- Capture Screenshots
- Open a process
- Install Updates
- List Process
- Inject code to process
- Download and execute files
- Download configuration
- Perform remote shell
- Start VNC