Author: Nikko Tamana   
 

Mal/Azber-A (Sophos), W32/Azbreg.BOA!tr (Fortinet), Backdoor.Win32.Azbreg (Ikarus), Trojan:Win32/Ramnit.A (Microsoft), variant of Win32/Ramnit.AE.Gen virus (NOD32)

 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW


  TECHNICAL DETAILS

File size: 93,072 bytes
File type: EXE
INITIAL SAMPLES RECEIVED DATE: 02 de ноября de 2012

Instalación

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

  • {All Users' Profile}\Application Data\{random 1}.log
  • %Application Data%\{random 2} .log
  • %Application Data%\{random 3} .log
  • %User Temp%\{random}.sys

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Application Data%\{random folder name}\{random file name}.exe
  • %User Temp%\{random file name}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Crea las carpetas siguientes:

  • %Application Data%\{random folder name}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\{random folder name}\{random file name}.exe"

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,,%Application Data\{random folder name}\{random file name}.exe"

(Note: The default value data of the said registry entry is "%System%\userinit.exe,".)

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

  • %Start Menu%\Programs\Startup\{random file name}.exe

(Nota: %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).

)

Otras modificaciones del sistema

Agrega las siguientes claves de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
Start = "3"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
DisplayName = "Micorsoft Windows Service"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service\Security
"Security" =

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
DeleteFlag = "1"

Otros detalles

Agrega y ejecuta los servicios siguientes:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
ImagePath = "\??\%User Temp%\{random}.sys"