Microsoft: Plugx; Symantec: Korplug; Sophos: PlugX; Fortinet: PLUGX; Ikarus: Plugx; Eset: Korplug

 Plate-forme:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Backdoor

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild:
    Oui

  Overview

Voie d'infection: Téléchargé à partir d'Internet, Transmis sous forme de spam via le courrier électronique


  Détails techniques

Memory resident: Oui
Charge malveillante: Compromises system security, Steals information, Logs keystrokes

Installation

Introduit les fichiers non malveillants suivants :

  • %AppDataLocal%\VirtualStore\Program Files\Common Files\NvSmart.exe
  • %AppDataLocal%\VirtualStore\Windows\system32\NvSmart.exe
  • %ProgramData%\Gf\NvSmart.exe
  • %ProgramData%\SxS\NvSmart.exe
  • %ProgramData%\SxS\rc.exe
  • %ProgramData%\SxSi\rc.exe
  • %System Root%\Users\All Users\Gf\NvSmart.exe
  • %System Root%\Users\All Users\SxS\NvSmart.exe
  • %System Root%\Users\All Users\SxS\rc.exe
  • %System Root%\Users\All Users\SxSi\rc.exe
  • %System Root%\Users\All Users\UdpGf\NvSmart.exe

(Remarque :%System Root% est le dossier racine, généralement C:\. Il s'agit également de l'emplacement dans lequel se trouve le système d'exploitation.)

Crée les dossiers suivants :

  • %ProgramData%\Gf
  • %ProgramData%\SxS
  • %ProgramData%\SxSi
  • %System Root%\Users\All Users\Gf
  • %System Root%\Users\All Users\SxS
  • %System Root%\Users\All Users\SxSi
  • %System Root%\Users\All Users\UdpGf

(Remarque :%System Root% est le dossier racine, généralement C:\. Il s'agit également de l'emplacement dans lequel se trouve le système d'exploitation.)

Technique de démarrage automatique

S''enregistre en tant que service système afin d''assurer son exécution automatique à chaque démarrage système en ajoutant les entrées de registre suivantes :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
Description = "Gf"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
DisplayName = "Gf"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
ImagePath = ""%ProgramData%\Gf\NvSmart.exe" 200 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf
Type = "110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
Description = "SxS"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
DisplayName = "SxS"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
ImagePath = ""%ProgramData%\SxS\rc.exe" 200 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS
Type = "110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Description = "UdpGf"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Description = "UdpGf"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
DisplayName = "UdpGf"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
ImagePath = ""%ProgramData%\UdpGf\NvSmart.exe" 200 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf
Type = "110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
Description = "SxSi"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
DisplayName = "SxSi"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
ImagePath = "%ProgramData%\SxSi\rc.exe" 200 0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SxSi
Type = "110"

S''enregistre en tant que service système afin d''assurer son exécution automatique à chaque démarrage système en ajoutant les clés de registre suivantes :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gf

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SxS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UdpGf

Autres modifications du système

Ajoute les entrées de registre suivantes relatives à sa routine d''installation :

HKEY_CLASSES_ROOT\FAST
CLSID = "{hex values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
FAST
CLSID = "{hex values}"

Ajoute les clés de registre suivantes relatives à sa routine d''installation :

HKEY_CLASSES_ROOT\FAST

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
FAST

Routine d'introduction

Introduit les fichiers suivants :

  • %AppDataLocal%\VirtualStore\Program Files\Common Files\NvSmartMax.dll
  • %AppDataLocal%\VirtualStore\Program Files\Common Files\boot.ldr
  • %AppDataLocal%\VirtualStore\Windows\system32\NvSmartMax.dll
  • %AppDataLocal%\VirtualStore\Windows\system32\boot.ldr
  • %ProgramData%\Gf\NvSmartMax.dll
  • %ProgramData%\Gf\boot.ldr
  • %ProgramData%\SxS\NvSmartMax.dll
  • %ProgramData%\SxS\rc.hlp
  • %ProgramData%\SxS\rcdll.dll
  • %ProgramData%\SxSi\rc.hlp
  • %ProgramData%\SxSi\rcdll.dll
  • %System Root%\Users\All Users\Gf\NvSmartMax.dll
  • %System Root%\Users\All Users\Gf\boot.ldr
  • %System Root%\Users\All Users\SxS\NvSmartMax.dll
  • %System Root%\Users\All Users\SxS\rc.hlp
  • %System Root%\Users\All Users\SxS\rcdll.dll
  • %System Root%\Users\All Users\SxSi\rc.hlp
  • %System Root%\Users\All Users\SxSi\rcdll.dll
  • %System Root%\Users\All Users\UdpGf\NvSmart.usr
  • %System Root%\Users\All Users\UdpGf\NvSmartMax.dll

(Remarque :%System Root% est le dossier racine, généralement C:\. Il s'agit également de l'emplacement dans lequel se trouve le système d'exploitation.)