BKDR_VAWTRAK.YUYJM
TrojanSpy:Win32/Banker (Microsoft); Trojan-Banker.Win32.Neverquest2.ol (Kaspersky); Backdoor.Papras (Malwarebytes)
Windows
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %All Users Profile%\Application Data\{Random Folder Name}\{Random Filename}.dll
Crea las carpetas siguientes:
- %All Users Profile%\Application Data\{Random Folder Name}
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = regsvr32.exe "%All Users Profile%\Application Data\{Random Folder Name}\{Random Filename}.dll"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\{random CLSID}
HKEY_CURRENT_USER\Software\{random CLSID}\
{Name of Created Folder}
HKEY_CURRENT_USER\Software\{random CLSID}\
{Name of Created Folder}\{4 Random digits}
{4 Random Letters} = {Hex value}
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = 1
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
TabProcGrowth = 0