TROJ_NECURS.EE
Trojan:Win32/Necurs(Microsoft), a variant of Win32/Kryptik.BKUG trojan(NOD32)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Este malware se elimina tras la ejecución.
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %Windows%\Installer\{UID}\syshost.exe
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
39986757974eff1 = "{random hex values}"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
75bffdfcb2ffecfb = "{random hex values}"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
ab666b181a0e1a89 = "{random hex values}"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
d343c628ffe8d1ad = "{random hex values}"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
ErrorControl = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
ImagePath = ""%Windows%\Installer\{UID}\syshost.exe" /service"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
Start = "2"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
Type = "16"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32\Enum
0 = "Root\LEGACY_SYSHOST32\0000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32\Enum
Count = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32\Enum
NextInstance = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32\Security
Security = "{random hex values}"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32
NextInstance = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
Class = "LegacyDriver"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
ClassGUID = "{GUID}"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
ConfigFlags = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
DeviceDesc = "syshost32"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
Legacy = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
Service = "syshost32"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000\Control
ActiveService = "syshost32"
Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32\Enum
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32\Security
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000\Control
Otras modificaciones del sistema
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = "0"
Otros detalles
Este malware se elimina tras la ejecución.