An¨¢lisis realizado por : Adrian Cofreros   
 Plataforma:

Windows XP (64-bit), Windows Vista (64-bit), Windows 7 (64-bit)

 Riesgo general:
 Potencial de destrucci¨®n:
 Potencial de distribuci¨®n:
 Infecci¨®n divulgada:
 Revelaci¨®n de la informaci¨®n:
Bajo
Medio
High
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de malware
    Backdoor

  • Destructivo?
    No

  • Cifrado
    No

  • In the Wild:
    ³§¨ª

  Resumen y descripci¨®n

Canal de infecci¨®n Eliminado por otro tipo de malware, Descargado de Internet

Este malware puede haberlo descargado otro malware desde sitios remotos.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Recopila informaci¨®n espec¨ªfica del sistema afectado.

  Detalles t¨¦cnicos

Tama?o del archivo 124,917 bytes
Tipo de archivo DLL
Residente en memoria ³§¨ª
Fecha de recepci¨®n de las muestras iniciales 21 de septiembre de 2013
Carga ¨²til Steals information

Detalles de entrada

Este malware puede descargarlo desde sitio(s) remoto(s) el malware siguiente:

  • BKDR_BLYPT.A

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Este malware inyecta c¨®digos en el/los siguiente(s) proceso(s):

  • explorer.exe

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
CryptoUpdate = ""%SystemRoot%\system32\rundll32.exe "{malware file name and path}",Crypt"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Updates the dll binary file
  • Receives and executes arbitrary code
  • Updates C&C configuration the following registry key:
    HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\CA\Certificates\5A82739996ED9EBA18F1BBCDCCA62D2C1D670C

Robo de informaci¨®n

Recopila la siguiente informaci¨®n del sistema afectado:

  • Native System Information

  Soluciones

Motor de exploraci¨®n m¨ªnimo 9.300
Primer archivo de patrones de VSAPI 10.290.08
Primera fecha de publicaci¨®n de patrones de VSAPI 21 de septiembre de 2013
Versi¨®n de patrones OPR de VSAPI 10.291.00
Fecha de publicaci¨®n de patrones OPR de VSAPI 21 de septiembre de 2013

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 3

Reiniciar en modo seguro

[ aprenda m¨¢s ]

Step 4

Eliminar este valor del Registro

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

?
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • CryptoUpdate = ""%SystemRoot%\system32\rundll32.exe "{malware file name and path}",Crypt"

Step 5

Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como BKDR64_BLYPT.B En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Rellene nuestra encuesta!

Sobre el malware