BKDR_GATES.XUZL

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. Se conecta a un sitio Web para enviar y recibir información.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

• {malware path}\fake.cfg - configuration file which can be updated via C&C server
• %Program Files%\DbProtectSupport\fake.cfg - configuration file which can be updated via C&C server
• %Program Files%\DbProtectSupport\svchost.exe - detected as BKDR_GATES.XUZL

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\DbProtectSupport
ImagePath = "%Program Files%\DbProtectSupport\svchost.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\DbProtectSupport
Start = "2"

Inicia los servicios siguientes:

• DbProtectSupport

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Perfrom DDOS attack:
  • TCP flooding
  • UDP flooding
  • ICMP flooding
• Inform status to malicious remote user
• Terminate attack
• Update configuration file

Se conecta a los sitios Web siguientes para enviar y recibir información:

• {BLOCKED}81.{BLOCKED}quye.mobi
• {BLOCKED}11.{BLOCKED}quye.mobi

Robo de información

Su archivo de configuración contiene la siguiente información:

• first line - command (start, stop, type of DDoS attack)
• second line - range of IP addresses
• third line - range of ports to be used

Recopila los siguientes datos:

• OS Version
• Country
• Network Interface performance (Network Interface({name})\Bytes Total/sec)
• Processor performance