TROJ_REDYMS.CI
Trojan.Win32.Redyms.pxh (Kaspersky), Trojan.Win32.Generic!BT (Sunbelt)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %AppDataLocal%\{random folder name}\ceafabcbeabeaad.exe
Crea las carpetas siguientes:
- %AppDataLocal%\{random folder name}
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
{random folder name} = "%AppDataLocal%\{random folder name}\ceafabcbeabeaad.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Adobe CSS5.1 Manager = "%AppDataLocal%\{random folder name}\ceafabcbeabeaad.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
Adobe CSS5.1 Manager = "%AppDataLocal%\{random folder name}\ceafabcbeabeaad.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Adobe
HKEY_CURRENT_USER\Software\Adobe\
CSXS.2.5
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Policies\Explorer\
Run
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Adobe\
CSXS.2.5
bProofingSpace = "{hex values}"
Rutina de infiltración
Infiltra los archivos siguientes:
- %Windows%\Task\{random}.job
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)