BKDR_PROTUX.SMZKEB-G

它开始执行然后再删除。

它执行远程恶意用户的命令，有效地攻击受感染的系统。

安装

它在受感染的系统中植入下列自身副本：

• %User Temp%\{malware name}.exe
• %Windows%\LINKINFO.dll
• %User Temp%\cnagnt.dll
• %User Temp%\ppa{Random hex value}.tmp → temporary DLL
• %User Temp%\RCX{Random hex value}.tmp → temporary DLL
• %Application Data%\cnagnt.dll

(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。. %Windows% 是 Windows 文件夹，通常位于 C:\WINDOWS 或 C:\WINNT。. %Application Data% 是当前用户的 Application Data 文件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

它植入下列文件：

• %User Temp%\1.txt → Contains the malware's process information. Deleted afterwards.
• %User Temp%\ppa{Random hex value}.tmp.vbs
• {Malware path}\q.bat → Uninstall itself. Deleted afterwards.

(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

它开始执行然后再删除。

它添加下列互斥条目，确保一次只会运行一个副本：

• tmutexabc

自启动技术

它创建下列注册表项，以便每次系统启动时自动执行植入的组件:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Conime = "%System%\rundll32" "%User Temp%\ppa{Random hex value}.tmp",Sd

它将下列文件植入 Windows 启动文件夹，以便在系统每次启动时自动执行：

• %User Startup%\Conime.lnk
• %User Startup%\Conime.exe

(注意: %User Startup% 是当前用户的启动文件夹，通常位于 C:\Windows\Profiles\{user name}\Start Menu\Programs\Startup (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Start Menu\Programs\Startup (Windows NT) 和 C:\Documents and Settings\{User name}\「开始」菜单\程序\启动。)

其他系统修改

它添加下列注册表项：

HKEY_CURRENT_USER\Control Panel\Desktop
WaitToKillAppTimeout = 1000

后门例程

它执行远程恶意用户的下列命令：

• Upload victim information.
• Execute a batch script, executable file or DLL file.