Author: Vincent Martin Hermosura   
 

Trojan.Win32.Buzus.uigo (Kaspersky), Trojan-Spy.Agent (Ikarus), a variant of Win32/Injector.BLMU trojan (Esset)

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Spyware

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW


  TECHNICAL DETAILS

File size: 224,503 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 08 сентября 2014

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

  • %Application Data%\{random characters 1}\{random characters 2}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Crea las carpetas siguientes:

  • %AppDataLocal%\Identities
  • %Application Data%\Microsoft\Address Book
  • %Application Data%\{random characters 1}
  • %Application Data%\{random characters 4}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = "%Application Data%\{random characters 1}\{random characters 2}.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager

HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts

HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Active Directory GC

HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Bigfoot

HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\VeriSign

HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\WhoWhere

HKEY_CURRENT_USER\Software\Microsoft\
WAB

HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4

HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4\Wab File Name

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Privacy
CleanCookies = "dword:00000000"

HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4\Wab File Name
@ = "%Application Data%\Microsoft\Address Book\{user name}.wab"

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Identities
Identity Ordinal = "dword:00000002"

(Note: The default value data of the said registry entry is dword:00000001.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\0
1609 = "dword:00000000"

(Note: The default value data of the said registry entry is dword:00000001.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1406 = "dword:00000000"

(Note: The default value data of the said registry entry is dword:00000001.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
"dword:00000000" = dword:00000001

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
1609 = "dword:00000000"

(Note: The default value data of the said registry entry is dword:00000001.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1406 = "dword:00000000"

(Note: The default value data of the said registry entry is dword:00000003.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1609 = dword:00000000

(Note: The default value data of the said registry entry is dword:00000001.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
1406 = "dword:00000000"

(Note: The default value data of the said registry entry is dword:00000003.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
1609 = dword:00000000

(Note: The default value data of the said registry entry is dword:00000001.)

Otros detalles

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

  • %Application Data%\Microsoft\Address Book\{user name}.wab
  • %Application Data%\Microsoft\Address Book\{user name}.wab~
  • %User Temp%\{random characters 3}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)