Author: Cris Nowell Pantanilla   
 

Backdoor:Win32/Vawtrak.A (Microsoft), Backdoor.Win32.Papras.zhm (Kaspersky)

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Backdoor

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

Ejecuta determinados comandos que recibe de forma remota desde un usuario malicioso. De esta forma pone en gran peligro el equipo afectado y la información del mismo.

  TECHNICAL DETAILS

File size: 344,064 bytes
File type: DLL
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 21 июня 2017

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename} = "regsvr32.exe "%Program Data%\{random}\{random}.{3 random character}"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
TabProcGrowth = 0

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = 1

HKEY_CURRENT_USER\Software\{CLSID}
{random value} = "{hex values}"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Log keystrokes
  • Capture Screenshots
  • Open a process
  • Install Updates
  • List Process
  • Inject code to process
  • Download and execute files
  • Download configuration
  • Perform remote shell
  • Start VNC