BKDR_ANDROM.ETIN

它可能是由远程站点的其他恶意软件/灰色软件/间谍软件下载而来。

它删除注册表项，导致一些应用程序和程序不能正常工作。

该恶意软件不具有任何传播例程。

它执行远程恶意用户的命令，有效地攻击受感染的系统。 它连接到网站，发送和接收信息。

新病毒详细信息

它可能是由下列恶意软件/灰色软件/间谍软件从远程站点下载而来：

• TROJ_PSINJECT.A

它可能是从下列远程站点下载而来：

• https://{BLOCKED}ndo.ru/favicon

安装

它添加下列进程：

• WerFault.exe (Windows Vista and above) / ctfmon.exe (Windows XP and below)
• msiexec.exe

它添加下列互斥条目，确保一次只会运行一个副本：

• Global\Mutex_4e1c16d7187ac191a832a41f7192645425dad5c792b76ed1dd7071926289ac66

它向下列进程中注入代码：

• created WerFault.exe/ctfmon.exe
• created msiexec.exe

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{UID} = "%System%\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\{random character}').{random character})));"

其他系统修改

它添加下列注册表项：

HKEY_CURRENT_USER\Software\Classes\
{random characters}
{random characters} = {base 64 encoded powershell command}

HKEY_CURRENT_USER\Software\Classes\
{random characters}
{UID} = {encrypted binary data}

HKEY_CURRENT_USER\Console\%SystemRoot%\
_system32_WIndowsPowerShell_v1.0_powershell.exe
WindowPosition = 4294905760

HKEY_CURRENT_USER\Console\%SystemRoot%\
_system32_WIndowsPowerShell_v1.0_powershell.exe
ScreenBufferSize = 65616

HKEY_CURRENT_USER\Console\%SystemRoot%\
_system32_WIndowsPowerShell_v1.0_powershell.exe
WindowSize = 65616

它删除下列注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
taskmgr.exe
Debugger = "taskmgr.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{UID} = {where the data has the following strings}:

• "powershell"
• "-windowstyle hidden"
• "[Text.Encoding]::ASCII.GetString([Convert]::FromBase64String"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
COM+ = {current value}

传播

该恶意软件不具有任何传播例程。

后门例程

它执行远程恶意用户的下列命令：

• Start a Process
• Download a file directed by C&C server, save it as %User Temp%\KB{8 random numbers}.exe and execute it
• Copy %System%\cdosys.dll to %User Temp%\cdo{random number}.dll and load it
• Uninstall itself

(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。. %System% 是 Windows 的 system 文件夹，通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。)

它连接到下列网站，发送和接收信息：

• http://{Random Generated Domain}/nonc.so
• http://{BLOCKED}an.ru/q.php
• http://{BLOCKED}ano.ru/q.php

进程终止

它终止在受感染的系统内存中运行的下列进程：

• powershell.exe

信息窃取

它收集下列数据:

• Root Volume Serial Number
• Operating System Version
• Local IP Address
• Administrator privileges