Analizzato da: Mark Joseph Manahan   
 Piattaforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Backdoor

  • Distruttivo?:
    No

  • Crittografato?:
    No

  • In the wild::
    ³§¨¬

  Panoramica e descrizione

Canale infezione: Descargado de Internet, Eliminado por otro tipo de malware

Elimina archivos para impedir la ejecuci¨®n correcta de programas y aplicaciones.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. Se conecta a un sitio Web para enviar y recibir informaci¨®n.

  Dettagli tecnici

Ports Used TCP Port 443
Dimensione file: 65,536 bytes
Tipo di file: DLL
Residente in memoria: No
Data di ricezione campioni iniziali: 25 aprile 2013
Carica distruttiva: Connects to URLs/IPs, Compromises system security, Downloads files, Executes files

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Infiltra los archivos siguientes:

  • %WINDOWS%\$NtUninstallKB080515$\Usblog_DXM.log

Crea las carpetas siguientes:

  • %WINDOWS%\$NtUninstallKB080515$

Otras modificaciones del sistema

Elimina los archivos siguientes:

  • {Malware Path}\msvidc161.dll
  • %System%\winmm16.dll

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Agrega las siguientes entradas de registro:

HKEY_CLASSES_ROOT\exefile
NeverShowExt = "0"

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckValue = "0"

(Note: The default value data of the said registry entry is 1.)

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Get Malware Information
  • Update Itself
  • Update C&C servers/IP Information
  • Perform sleep command
  • File Manipulation (View added files, Rename, Delete, Check filetype, Modify, Change attiributes, Change filetime, Copy)
  • Directory Manipulation (Change Current, Add, View directories)
  • Reboot and Disconnect
  • Perform shell command
  • View System Informations (Mac Address, Computer Name, Wan/Local IP, Disk Information, Display Mode, CPU Information, Path of System Directory, OS Inofrmation, Drive Information, Malware Uptime)
  • Load other modules
  • Execute a program (with option as Administrator)
  • List IPs
  • List/Disconnect TCP Connections
  • List/Kill Processes
  • Download File
  • Upload File
  • Enumerate/Install Services
  • Load keylogging module (mskb32.dll)

Se conecta a los sitios Web siguientes para enviar y recibir informaci¨®n:

  • {BLOCKED}.{BLOCKED}.204.62
  • {BLOCKED}.{BLOCKED}.102.244
  • {BLOCKED}.{BLOCKED}.103.42
  • {BLOCKED}.{BLOCKED}.10.239
  • {BLOCKED}.{BLOCKED}.145.118
  • {BLOCKED}i89.{BLOCKED}s.info
  • http://{BLOCKED}02.{BLOCKED}z.info/dxj

  Soluzioni

Motore di scansione minimo: 9.300
Primo file di pattern VSAPI: 9.876.06
Data di pubblicazione del primo pattern VSAPI: 25 aprile 2013
Versione pattern VSAPI OPR: 9.877.00
Data di pubblicazione del pattern VSAPI OPR: 25 aprile 2013

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CLASSES_ROOT\exefile
    • NeverShowExt = "0"

Step 3

Restaurar este valor del Registro modificado

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: Hidden = "0"
      To: Hidden = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: HideFileExt = "1"
      To: HideFileExt = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
    • From: CheckValue = "0"
      To: CheckValue = "1"

Step 4

Buscar y eliminar estas carpetas

[ learnMore ]
Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todas las carpetas ocultas. ?
  • %WINDOWS%\$NtUninstallKB080515$\

Step 5

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como BKDR_TENGO.A En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Sondaggio