UPATRE
Microsoft: Upatre; Symantec: Upatre; Kaspersky: Upatre
Windows
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %User Temp%\pdfviewer.exe
- %User Temp%\informix.exe
- %User Temp%\ELuXJ36.exe
- %User Temp%\goofit5.exe
- %User Temp%\vybzl.exe
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Infiltra los archivos siguientes:
- %User Temp%\temp_4662.txt
- %User Temp%\{5letters}{2digits}.exe
- %User Temp%\mix_T17.tmp
- %User Temp%\tep-D366.txt
- %User Temp%\tep-043.txt
- %User Temp%\EXE1.exe
- %User Temp%\utt69B9.tmp
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE \Software\Microsoft\
ESENT\Process\document81723\
DEBUG
Trace Level = null
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
marker_UAC_bypassed = TRUE