Author: Adrian Cofreros   
 

a variant of Win32/Injector.AKKG trojan(NOD32),TR/Agent.598016(Antivir)

 PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW


  TECHNICAL DETAILS

File size: 647,168 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 03 sierpnia 2013

Instalación

Infiltra los archivos siguientes:

  • %User Temp%\UuU.uUu
  • %User Temp%\XxX.xXx
  • %Application Data%\logs.dat

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Windows%\Windows.dll - for windows XP
  • %Application Data%\Windows.dll - for windows 7

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
ctfmon = "%Windows%\Windows.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
ctfmon = "%Windows%\Windows.dll"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows = "{path and filename of dropped copy}"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\WindowsNT

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{1221254T-0T64-181A-O2IW-A810J2EET031} -for windows XP

HKEY_CURRENT_USER\Software\Classes\
VirtualStore\MACHINE\SOFTWARE\
Microsoft\Active Setup\Installed Components\
{1221254T-0T64-181A-O2IW-A810J2EET031} - for Windows 7

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{1221254T-0T64-181A-O2IW-A810J2EET031} -for windows XP
StubPath = "%Windows%\Windows.dll"

HKEY_CURRENT_USER\Software\Classes\
VirtualStore\MACHINE\SOFTWARE\
Microsoft\Active Setup\Installed Components\
{1221254T-0T64-181A-O2IW-A810J2EET031} -for Windows 7
StubPath = "%Application Data%\Windows.dll Restart"

HKEY_CURRENT_USER\Software\WindowsNT
FirstExecution = "{date} -- {time}"

HKEY_CURRENT_USER\Software\WindowsNT
NewIdentification = "WindowsNT"