Analizzato da: Kathleen Notario   
 

Trojan.Gen.2 (Symantec); Mal/Tracur-C (Sophos)

 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Trojan

  • Distruttivo?:
    No

  • Crittografato?:
    No

  • In the wild::
    厂ì

  Panoramica e descrizione


  Dettagli tecnici

Dimensione file: 539,648 bytes
Tipo di file: EXE
Residente in memoria: 厂ì
Data di ricezione campioni iniziali: 19 luglio 2011
Carica distruttiva: Terminates processes, hijacks search results

滨苍蝉迟补濒补肠颈ó苍

Infiltra los archivos siguientes:

  • %System%\{random file name}32.dll - also detected as TROJ_TRACUR.SMWX
  • %System%\1243398548 - non-malicious file

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\{random file name}32.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}32
ImagePath = "%System%\{random file name}32.exe"

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CLASSES_ROOT\CLSID\{random CLSID}\
InprocServer32
(default) = "%System%\{random file name}32.dll"

Se registra como BHO para garantizar su ejecución automática cada vez que se utilice Internet Explorer mediante la introducción de las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{random CLSID}

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
XMLHTTP_UUID_Default = "{hex values}"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
XMLHTTP_UUID_Default = "{hex values}"

Agrega las siguientes claves de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\.fsharproj

HKEY_CLASSES_ROOT\Hrkkdxtnkr

HKEY_CLASSES_ROOT\CLSID\{random CLSID}

HKEY_CLASSES_ROOT\Software\Hrkkdxtnkr

HKEY_CURRENT_USER\Software\Hrkkdxtnkr

HKEY_USERS\.DEFAULT\Software\
Hrkkdxtnkr

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • chrome.exe

  Soluzioni

Motore di scansione minimo: 8.900
Primo file di pattern VSAPI: 8.299.00
Data di pubblicazione del primo pattern VSAPI: 19 luglio 2011

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Reiniciar en modo seguro

[ learnMore ]

Step 3

Eliminar las claves de CLSID aleatorias creadas

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

Step 4

Para eliminar la clave de servicio aleatoria que crea este malware/grayware/spyware:

  1. Explore el equipo con su producto de live casino online y anote el nombre del malware/grayware/spyware detectado.
  2. Abra el Editor del Registro. Para ello, haga clic en Inicio>Ejecutar, escriba regedit en el cuadro de texto y pulse Intro.
  3. Pulse CTRL+F.
  4. En el cuadro de diálogo Buscar, escriba el nombre del malware detectado anteriormente.
    (Nota: asegúrese de que solo está activada la casilla Datos y, a continuación, haga clic en Buscar siguiente).

    5. Buscar.

  5. Una vez encontrado, compruebe en el panel derecho que el resultado es el siguiente par valor-datos:
    ImagePath = {ruta y nombre del archivo de malware/grayware/spyware}
  6. Si es así, busque en el panel izquierdo el servicio en el que se encuentren los datos.
  7. Haga clic con el botón derecho del ratón en el servicio del panel izquierdo y elija Eliminar.
  8. Repita los pasos 2 a 6 hasta que se abra el cuadro de diálogo Finalizó la búsqueda en el Registro.
  9. Cierre el Editor del Registro.

Step 5

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    • XMLHTTP_UUID_Default = {hex values}
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    • XMLHTTP_UUID_Default = {hex values}

Step 6

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CLASSES_ROOT
    • .fsharproj
  • In HKEY_CLASSES_ROOT
    • Hrkkdxtnkr
  • In HKEY_CLASSES_ROOT\CLSID
    • {random CLSID}
  • In HKEY_CLASSES_ROOT\Software
    • Hrkkdxtnkr
  • In HKEY_CURRENT_USER\Software
    • Hrkkdxtnkr
  • In HKEY_USERS\.DEFAULT\Software
    • Hrkkdxtnkr

Step 7

Buscar y eliminar este archivo

[ learnMore ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
  • %System%\1243398548

Step 8

Buscar y eliminar esta carpeta

[ learnMore ]
Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todas las carpetas ocultas.
  • %User Profile%\Application Data\Mozilla\Firefox\Profiles\{random}.default\extensions\{random CLSID for Firefox}
  • %Application Data%\Google\Chrome\User Data\Default\Default\{random folder name}

Step 9

Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como TROJ_TRACUR.SMWX En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener más información.


Sondaggio

Minacce informatiche correlate