Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:
– [HKLM\SYSTEM\CurrentControlSet\Services\DomainService]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="%directory di esecuzione del malware%\%file eseguiti% \service"
• "DisplayName"="DomainService"
• "ObjectName"="LocalSystem"
• "FailureActions"= %valori esadecimali%
• "Description"="DomainService"
Il valore della seguente chiave di registro viene rimosso:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• DDC
Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
• "%directory di esecuzione del malware%\\%file
eseguiti%"="%directory di esecuzione del malware%\\%file
eseguiti%:"
Viene aggiunta la seguente chiave di registro:
– [HKLM\SOFTWARE\Microsoft\DomainService]
Viene cambiata la seguente chiave di registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Valore precedente:
• "SFCDisable" = 0
Nuovo valore:
• "SFCDisable" = 4
Backdoor
Contatta il server:
Tutti i seguenti:
• http://24.244.141.185/**********/install.php
• http://24.244.141.185/**********/heartbeat.php
Invia informazioni riguardanti:
• Stato corrente del malware
Capacità di controllo remoto:
• Download di file
• Visitare un sito web
Nessun commento:
Posta un commento