Rabasheeta

 PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Backdoor

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Este malware se elimina tras la ejecución.

  TECHNICAL DETAILS

Memory resident: Yes
PAYLOAD: Compromises system security, Downloads files, Executes files

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

  • {malware path}\cfg.dat
  • %AppDataLocal%\Microsoft\iesys\cfg.dat
  • %AppDataLocal%\Microsoft\iesys\iesys.exe
  • {malware path}\del.bat

Crea las carpetas siguientes:

  • %AppDataLocal%\Microsoft\iesys

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware filename}.exe = "{malware path}\{malware filename}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
iesys = "%AppDataLocal%\Microsoft\iesys\iesys.exe"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Capture screenshots
  • Download files
  • Upload files
  • Enumerate files and folders
  • Execute files
  • Get default Internet browser
  • Navigate and open a URL in a hidden browser
  • Log user keystrokes and mouse clicks
  • Update self
  • Update configuration file
  • Update bulletin thread used
  • Sleep for a specified amount of time
  • Remove self from system

Otros detalles

Este malware se elimina tras la ejecución.