ELF_NETWRD.A

Para obtener una visión integral del comportamiento de este Backdoor, consulte el diagrama de amenazas que se muestra a continuación.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• {user's home path}/WIFIADAPT

Técnica de inicio automático

Infiltra los archivos siguientes:

• {user's home path}/.config/autostart/WIFIADAPTER.desktop

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Get OS version, user name, host name, $PATH variable, home directory, malware process ID, current process path
• Download a file and save it as /tmp/{random file name 1}, then execute the downloaded file
• Exit
• List files in a directory
• Read a file
• Write and close a file
• Copy a file
• Execute a file
• Rename a file
• Delete a file
• Create a directory
• Start remote shell
• Kill a process
• Get currently logged in users
• Enumerate window titles of all processes
• Download a file and save it as /tmp/{random file name 2}
• Simulate keyboard press
• Simulate mouse event
• Get stored login credentials in Google Chrome, Chromium, Opera, Mozilla
• Get the size of a file
• Take a screenshot
• Upload keylogger file {user's home path}/.m8d.dat
• Clear keylogger file {user's home path}/.m8d.dat
• Delete a file
• Search for a file
• Stop remote shell
• List processes
• Perform window operation
• Get Pidgin passwords from {user's home path}/.purple/accounts.xml
• Uninstall

Rutina de infiltración

Este malware infiltra el/los siguiente(s) archivo(s), que utiliza para su rutina de captura de teclado:

• {user's home path}/.m8d.dat