Analizzato da: Mark Joseph Manahan   
 

Troj/VBDrop-AS (Sophos) ,Trojan horse Generic35.AXFQ (AVG) ,W32/Dorkbot.BAAr (Fortinet) ,Trojan.Win32.Inject (Ikarus) ,Trojan.Win32.Inject.gyju (Kaspersky) ,Trojan.Dropper (Symantec) ,Trojan.Win32.GenericT (Sunbelt)

 Piattaforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
 Informazioni esposizione: :
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Trojan

  • Distruttivo?:
    No

  • Crittografato?:
    厂ì

  • In the wild::
    厂ì

  Panoramica e descrizione

Canale infezione: Descargado de Internet, Eliminado por otro tipo de malware

Se conecta a determinados sitios Web para enviar y recibir información.

  Dettagli tecnici

Dimensione file: 88,557 bytes
Tipo di file: EXE
Residente in memoria: 厂ì
Data di ricezione campioni iniziali: 01 gennaio 2014
Carica distruttiva: Steals information, Connects to URLs/IPs

滨苍蝉迟补濒补肠颈ó苍

Infiltra los archivos siguientes:

  • %User Temp%\setup.dat
  • %User Temp%\data.dat
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions.sqlite
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{A9E3A5E6-A75E-B689-2181-696FC74540D3\chrome.manifest
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{A9E3A5E6-A75E-B689-2181-696FC74540D3\install.rdf
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions.sqlite\{A9E3A5E6-A75E-B689-2181-696FC74540D3\components\RMGetLicenseClass.js - detected as JS_MIUREF.A

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Infiltra y ejecuta los archivos siguientes:

  • %User Temp%\qpsbalkr.exe - also detected as TROJ_MIUREF.A

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Agrega los procesos siguientes:

  • iexplore.exe

Crea las carpetas siguientes:

  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{A9E3A5E6-A75E-B689-2181-696FC74540D3
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{A9E3A5E6-A75E-B689-2181-696FC74540D3\components

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{GUID} = "%User Temp%\qpsbalkr.exe"

Robo de información

Recopila los siguientes datos:

  • Computer Name / Username
  • OS Version
  • Browser Informations

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

  • Install Browser plugins (it may do this monitor browser activites, display popup ads or execute arbitrary scripts)

Se conecta al sitio Web siguiente para enviar y recibir información:

  • http://{BLOCKED}.{BLOCKED}.80.139/{value}
  • http://{BLOCKED}.{BLOCKED}.212.49/{value}

  Soluzioni

Motore di scansione minimo: 9.700

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Reiniciar en modo seguro

[ learnMore ]

Step 3

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

?
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • {GUID} = "%User Temp%\qpsbalkr.exe"

Step 4

Buscar y eliminar estas carpetas

[ learnMore ]
Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todas las carpetas ocultas.
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{A9E3A5E6-A75E-B689-2181-696FC74540D3

Step 5

Buscar y eliminar este archivo

[ learnMore ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
  • %User Temp%\setup.dat
  • %User Temp%\data.dat

Step 6

Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como TROJ_MIUREF.A En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener más información.


Sondaggio