BKDR_KULUOZ.VLT
Mal/Weelsof-E (Sophos)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. Se conecta a un sitio Web para enviar y recibir informaci¨®n.
TECHNICAL DETAILS
Detalles de entrada
Este malware puede haberse descargado desde el/los sitio(s) remoto(s) siguiente(s):
- http://{BLOCKED}ofing.com/lib.php?la=w0HMRoflYGd7lbjgVe3hPH5ALSw8h2SpOT2SmBFy%2BHA%3D
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Crea las siguientes copias de s¨ª mismo en el sistema afectado y las ejecuta:
- %AppDataLocal%\{random file name}.exe
Agrega los procesos siguientes:
- svchost.exe
Este malware permanece como residente en memoria mediante la inyecci¨®n de c¨®digos en los siguientes procesos:
- created svchost.exe
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%AppDataLocal%\{random file name}.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:
HKEY_CURRENT_USER\Software\{random}
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\{random}
{random} = "{hex values}"
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Sleep/Idle
- Download and execute arbitrary file
- Uninstall itself
- Download module and inject to svchost.exe
- Update itself
- Check latest malware version
- Manage registry
Se conecta a los sitios Web siguientes para enviar y recibir informaci¨®n:
- http://{BLOCKED}0.{BLOCKED}4.59.5:443/{encrypted data}
- http://{BLOCKED}8.{BLOCKED}.219.150:443/{encrypted data}
- http://{BLOCKED}2.{BLOCKED}2.157.126:8080/{encrypted data}
- http://{BLOCKED}9.{BLOCKED}6.55.95:8080/{encrypted data}
- http://{BLOCKED}1.{BLOCKED}1.1.189:8080/{encrypted data}
- http://{BLOCKED}5.{BLOCKED}1.29.205:8080/{encrypted data}
Robo de informaci¨®n
Recopila los siguientes datos:
- Malware version
- Virtualization information
- Running debugger/forensic tools
- User name
- Local IP address
- Processor type
- OS version
- Antivirus product
- Firewall product
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 2
Reiniciar en modo seguro
Step 3
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random} = "%AppDataLocal%\{random file name}.exe"
- {random} = "%AppDataLocal%\{random file name}.exe"
Step 4
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como BKDR_KULUOZ.VLT En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Did this description help? Tell us how we did.