VBS_CARBANAK.DXP

Puede haberlo infiltrado otro malware.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Detalles de entrada

Puede haberlo infiltrado el malware siguiente:

• TROJ_CARBANAK.DXP

Instalación

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

• %User Temp%\WindowsUpdate_X24532\MyIniFile.ini
• %User Temp%\WindowsUpdate_X24532\screenshot-cmd.ps1
• %User Temp%\WindowsUpdate_X24532\box.txt
• %User Temp%\WindowsUpdate_X24532\beginer.vbs
• %User Temp%\WindowsUpdate_X24532\runnerr.vbs
• %User Temp%\WindowsUpdate_X24532\loader.vbs
• %User Temp%\WindowsUpdate_X24532\autostarter2.vbs
• %User Temp%\WindowsUpdate_X24532\checkcomp.vbs
• %User Temp%\WindowsUpdate_X86532\ggldr.vbs
• %User Temp%\WindowsUpdate_X86532\start.vbs
• %User Temp%\WindowsUpdate_X24532\Foxconn.lnk
• %User Temp%\WindowsUpdate_X86532\Foxconn.lnk
• %User Temp%\WindowsUpdate_X32794\begCobal.vbs
• %User Temp%\WindowsUpdate_X32794\updateSys.ps1
• {malware path}\out.txt

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Crea las carpetas siguientes:

• %User Temp%\WindowsUpdate_X24532
• %User Temp%\WindowsUpdate_X86532
• %User Temp%\WindowsUpdate_X32794

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
UpdateWindowsTmp0_ = explorer.exe %User Temp%\WindowsUpdate_X24532\Foxconn.lnk

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
UpdateWindowsTmp1_ = explorer.exe %User Temp%\WindowsUpdate_X86532\Foxconn.lnk

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• List running processes
• Acquire the following computer information:
  • Operating System Name
  • Operating System version
  • Service Pack Major and Minor Version
  • Operating System Manufacturer
  • Windows Directory
  • Operating System Locale
  • Available Physical Memory
  • Total Virtual Memory
  • Available Virtual Memory
  • Size stored in paging files
  • Computer System Name
  • Computer System Manufacturer
  • Computer System Model
  • Current Time Zone
  • Total Physical Memory
  • Processor Information
  • BIOS Version
  • User Domain
  • User Name
  • Microsoft Office applications and version
• Capture and send screenshots
• Run VBS scripts
• Run executable files
• Run powershell scripts
• Run cmd commands
• Uninstall itself
• Update itself

Publica la siguiente información en su servidor de mando y control (C&C):

• Operating System Name
• Operating System version
• Service Pack Major and Minor Version
• Operating System Manufacturer
• Windows Directory
• Operating System Locale
• Available Physical Memory
• Total Virtual Memory
• Available Virtual Memory
• Size stored in paging files
• Computer System Name
• Computer System Manufacturer
• Computer System Model
• Current Time Zone
• Total Physical Memory
• Processor Information
• BIOS Version
• User Domain
• User Name
• Running processes
• Microsoft Office applications and version