RDN/PWS-Banker!dn (McAfee), a variant of Win32/Spy.Banker.AAXV (ESET), W32/Banker.AAXV!tr.pws (Fortinet)

 Piattaforma:

Windows

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
 Informazioni esposizione: :
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Spyware

  • Distruttivo?:
    No

  • Crittografato?:
    厂ì

  • In the wild::
    厂ì

  Panoramica e descrizione

Canale infezione: Descargado de Internet

Para obtener una visión integral del comportamiento de este Spyware, consulte el diagrama de amenazas que se muestra a continuación.

Este malware modifica la configuración de zona de Internet Explorer.

  Dettagli tecnici

Dimensione file: Varia
Tipo di file: EXE
Residente in memoria: 厂ì
Data di ricezione campioni iniziali: 04 dicembre 2014
Carica distruttiva: Connects to URLs/IPs, Steals information

Detalles de entrada

Este malware puede haberse descargado desde el/los sitio(s) remoto(s) siguiente(s):

  • http://{BLOCKED}e.co.kr/mm/sun.exe
  • http://www.{BLOCKED}e.co.kr/mm/sun.exe
  • http://{BLOCKED}ne.co.kr/data/1.exe
  • http://{BLOCKED}.{BLOCKED}.23.149/pop/pop/1.html

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
MyKB = "{malware path and filename}"

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyEnable = "1"

(Note: The default value data of the said registry entry is user-defined.)

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.

  Soluzioni

Motore di scansione minimo: 9.700
Primo file di pattern VSAPI: 11.334.02
Data di pubblicazione del primo pattern VSAPI: 09 dicembre 2014
Versione pattern VSAPI OPR: 11.335.00
Data di pubblicazione del pattern VSAPI OPR: 09 ottobre 2014

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Explorar el equipo con su producto de live casino online y anotar los archivos detectados como TSPY_BANKER.YYSI

Step 3

Reiniciar en modo seguro

[ learnMore ]

Step 4

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

?
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • MyKB = "{malware path and filename}"

Step 5

Restaurar este valor del Registro modificado

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • From: ProxyEnable = "1"
      To: ProxyEnable = "{user-defined}"

Step 6

Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como TSPY_BANKER.YYSI En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener más información.


Sondaggio