RTKT_EMOTI
Emold, Bezopi
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type:
Others
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %Program Files%\Microsoft Common\svchost.exe
- %Program Files%\Movie Maker\wmv2avi.exe
- %System%\logon.exe
- %User Temp%\{malware name}.exe
- %Windows%\mssrvc\svchost.exe
- {drive letter}:\system.exe
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).)Infiltra los archivos siguientes:
- %User Temp%\000_c.exe
- %User Temp%\7upx.exe
- %User Temp%\ader.exe
- %User Temp%\mxs.exe
- %User Temp%\rdl{random1}.tmp
- {drive letter}:\autorun.inf
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Crea las carpetas siguientes:
- %Windows%\mssrvc
- %Program Files%\Microsoft Common
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
svchost = "%Windows%\mssrvc\svchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
svchost = "{malware path}\{malware name}.exe"
Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe, %User Temp%\{malware name}.exe"
(Note: The default value data of the said registry entry is %System%\userinit.exe,.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe logon.exe"
(Note: The default value data of the said registry entry is Explorer.exe.)
Añade las siguientes entradas del registro de Image File Execution Options para ejecutarse a sí mismo cuando se ejecutan determinadas aplicaciones:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
explorer.exe
Debugger = "%Program Files%\Movie Maker\wmv2avi.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
explorer.exe
Debugger = "%Program Files%\Microsoft Common\svchost.exe"
Otras modificaciones del sistema
Modifica las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "2"
(Note: The default value data of the said registry entry is 0.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"
(Note: The default value data of the said registry entry is 1.)
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\Microsoft Common\svchost.exe = "%Program Files%\Microsoft Common\svchost.exe:*:Enabled:EMOTIONS_EXECUTABLE"
Elimina las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot