DARKCOMET
Fynloski, Krademok, DarkKomet
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Modifica determinadas entradas de registro para desactivar las funciones del Centro de seguridad. Esto permite que el malware ejecute sus rutinas sin ser detectado. Desactiva el Administrador de tareas, el Editor del Registro y las opciones de carpeta. Modifica las entradas de registro para desactivar la configuración del cortafuegos de Windows. Esta acción permite que el malware lleve a cabo sus rutinas sin ser detectado por el cortafuegos de Windows.
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %User Temp%\WinDefender.Exe
- %Application Data%\VIA\vc.exe
- %User Temp%\lsasrv.exe
- %System%\Windupdt\winupdate.exe
- %Application Data%\HostProcess\{malware name}.exe
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Crea las carpetas siguientes:
- %Application Data%\dclogs
- %Application Data%\VIA
- %System%\Windupdt
- %Application Data%\HostProcess
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
WinDefender = "%User Temp%\WinDefender.Exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
VIAChipset = "%Application Data%\VIA\vc.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft® Windows® Operating System = "%User Profile%\Templates\msadrh10.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
winupdater = "%System%\Windupdt\winupdate.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HostProcess = "%Application Data%\HostProcess\{malware name}.exe"
Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%Application Data%\VIA\vc.exe"
(Note: The default value data of the said registry entry is %System%\userinit.exe,.)
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = "0"
Agrega las siguientes claves de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\DC3_FEXEC
Modifica las siguientes entradas de registro para desactivar las funciones del Centro de seguridad:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"
(Note: The default value data of the said registry entry is 0.)
Crea la(s) siguiente(s) entrada(s) de registro para desactivar el Administrador de tareas, las herramientas de registro y las opciones de carpeta:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"
Modifica las siguientes entradas de registro para desactivar la configuración del cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"
(Note: The default value data of the said registry entry is "1".)
Rutina de infiltración
Infiltra los archivos siguientes:
- %Application Data%\dclogs\{date executed}-{number}.dc
- %User Temp%\NovoUpdate.exe
- %User Profile%\Templates\msadrh10.exe
- %User Temp%\vbc.exe
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).)