PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Backdoor

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Eliminado por otro tipo de malware


  TECHNICAL DETAILS

PAYLOAD: Connects to URLs/IPs

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %User Temp\{Random filename and extension}

Infiltra y ejecuta los archivos siguientes:

  • %Program Files%\Common Files\Microsoft Shared\OFFICE12\MSO32.DLL

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Crea las carpetas siguientes:

  • %System Root%\Users\Public\{AFAFB2EE-837C-4EA5-B933-998F94AEC654}
  • %System Root%\ProgramData\{AFAFB2EE-837C-4EA5-B933-998F94AEC654}
  • %Windows%\TEMP\TEMP
  • %Program Files%\Common Files\Microsoft Shared\OFFICE12

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Session Manager
PendingFileRenameOperations = "%User Temp\{Random filename and extension}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1001 = "%SystemRoot%\system32\mswsock.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1002 = "%SystemRoot%\system32\mswsock.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1003 = "%SystemRoot%\system32\mswsock.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1004 = "%SystemRoot%\system32\rsvpsp.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1005 = "%SystemRoot%\system32\rsvpsp.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
PathName = "%Program Files%\Common Files\Microsoft Shared\OFFICE12\MSO32.DLL"