Trojan.MSIL.NANOBOT.K
UDS:Backdoor.MSIL.NanoBot.gen (KASPERSKY)
Windows
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
TECHNICAL DETAILS
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Instalación
Infiltra los archivos siguientes:
- %User Startup%\fc2_all_trl.vbs
- %User Temp%\{Random}.tmp
- %User Temp%\{Random}.tmpdb
(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows 2003(32-bit), XP y 2000(32-bit) en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio y en en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).)Crea las siguientes copias de sí mismo en el sistema afectado:
- %Application Data%\fc2_all_trl.exe
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).
)Agrega los procesos siguientes:
- {Malware File Path}\{Malware File Name}.{Malware File Extension}
Otras modificaciones del sistema
Agrega las siguientes claves de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Office\15.0\Outlook\
Profiles\Outlook
9375CFF0413111d3B88A00104B2A6676 =
HKEY_CURRENT_USER\Software\Microsoft\
Office\16.0\Outlook\
Profiles\Outlook
9375CFF0413111d3B88A00104B2A6676 =
HKEY_CURRENT_USER\Software\Microsoft\
Office\17.0\Outlook\
Profiles\Outlook
9375CFF0413111d3B88A00104B2A6676 =
HKEY_CURRENT_USER\Software\Microsoft\
Office\18.0\Outlook\
Profiles\Outlook
9375CFF0413111d3B88A00104B2A6676 =
HKEY_CURRENT_USER\Software\Microsoft\
Office\19.0\Outlook\
Profiles\Outlook
9375CFF0413111d3B88A00104B2A6676 =
HKEY_CURRENT_USER\Software\Microsoft\
Office\20.0\Outlook\
Profiles\Outlook
9375CFF0413111d3B88A00104B2A6676 =
HKEY_CURRENT_USER\Software
c4becaaba4cfc716 =
Otros detalles
It connects to the following possibly malicious URL:
- https://{BLOCKED}rallic.com
- https://{BLOCKED}rallic.com/condor/Gqwpkmu.pdf
- http://{BLOCKED}cr.org/