An¨¢lisis realizado por : John Anthony Banes   
 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucci¨®n:
 Potencial de distribuci¨®n:
 Infecci¨®n divulgada:
 Revelaci¨®n de la informaci¨®n:
Bajo
Medio
High
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
    ³§¨ª

  • In the Wild:
    ³§¨ª

  Resumen y descripci¨®n

Canal de infecci¨®n Eliminado por otro tipo de malware

Se conecta a determinados sitios Web para enviar y recibir informaci¨®n.

  Detalles t¨¦cnicos

Tama?o del archivo 3,171,328 bytes
Tipo de archivo EXE
Residente en memoria ³§¨ª
Fecha de recepci¨®n de las muestras iniciales 28 Jun 2018
Carga ¨²til Connects to URLs/IPs, Drops files

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Este malware infiltra el/los siguiente(s) archivo(s):

  • %System%\drivers\winmon.sys - rootkit, hides processes.
  • %System%\drivers\WinmonFS.sys - rootkit, hides files and folders.
  • %System%\drivers\WinmonProcessMonitor.sys - rootkit, finds specific processes and closes them.

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Crea las siguientes copias de s¨ª mismo en el sistema afectado:

  • %Windows%\rss\csrss.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Crea las carpetas siguientes:

  • %User Temp%\csrss
  • %Windows%\rss

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

  • Global\h48yorbq6rm87zot

Finaliza la ejecuci¨®n de la copia que ejecut¨® inicialmente y ejecuta en su lugar la copia que ha creado.

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = %Windows%\rss\csrss.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_CURRENT_USER\Software\Microsoft\
TestApp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Instances

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Instances\
WinmonFS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonProcessMonitor

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon
DisplayName = Winmon

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon
ErrorControl = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon
Start = 3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon
Type = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon\Security
Security = {hex values}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
DependOnService = FltMgr

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
DisplayName = WinmonFS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
ErrorControl = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
Group = FSFilter Activity Monitor

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
ImagePath = \??\%System%\drivers\WinmonFS.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
Start = 3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
Type = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Instances
DefaultInstance = WinmonFS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Instances\
WinmonFS
Altitude = 370000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Instances\
WinmonFS
Flags = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Security
Security = {hex values}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon
ImagePath = \??\%System%\drivers\Winmon.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonProcessMonitor
DisplayName = WinmonProcessMonitor

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonProcessMonitor
ErrorControl = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonProcessMonitor
ImagePath = \??\{hex values}\drivers\WinmonProcessMonitor.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonProcessMonitor
Start = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonProcessMonitor
Type = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%Windows% = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%Windows%\rss = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%Application Data%\EpicNet Inc\CloudNet = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%User Temp%\csrss = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%Application Data%\PatientVoice = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%Windows%\windefender.exe = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%User Temp%\wup = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%System%\drivers = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Processes
csrss.exe = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Processes
cloudnet.exe = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Processes
windefender.exe = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Processes
{malware filename} = 0

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
Name = {random}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
Defender = {string}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
Servers = https://{BLOCKED}mmute.com, https://{BLOCKED}acon.com

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
UUID = {value}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
Command = {value}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
FirstInstallDate = {value}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
CloudnetSource = {string}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
ServiceVersion = {string}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
SC = {value}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
PGDSE = {value]

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
VC = {value}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
OSCaption = {Operating System of affected machine}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
OSArchitecture = {32 or 64}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
IsAdmin = {value}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
AV = {strings}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
PatchTime = {value}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
CPU = {CPU details of affected machine}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
GPU = {GPU details of affected machine}

HKEY_CURRENT_USER\Software\Microsoft\
TestApp
Firewall = {string}

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

  • EternalBlue\DoublePulsar files are extracted and saved as:
    • %User Temp%\csrss\smb\adfw-2.dll
    • %User Temp%\csrss\smb\adfw.dll
    • %User Temp%\csrss\smb\cnli-0.dll
    • %User Temp%\csrss\smb\cnli-1.dll
    • %User Temp%\csrss\smb\coli-0.dll
    • %User Temp%\csrss\smb\crli-0.dll
    • %User Temp%\csrss\smb\dmgd-1.dll
    • %User Temp%\csrss\smb\dmgd-4.dll
    • %User Temp%\csrss\smb\Doublepulsar-1.3.1.exe
    • %User Temp%\csrss\smb\esco-0.dll
    • %User Temp%\csrss\smb\Eternalblue-2.2.0.exe
    • %User Temp%\csrss\smb\exma-1.dll
    • %User Temp%\csrss\smb\exma.dll
    • %User Temp%\csrss\smb\iconv.dll
    • %User Temp%\csrss\smb\libcurl.dll
    • %User Temp%\csrss\smb\libeay32.dll
    • %User Temp%\csrss\smb\libiconv-2.dll
    • %User Temp%\csrss\smb\libxml2.dll
    • %User Temp%\csrss\smb\payload32.dll
    • %User Temp%\csrss\smb\payload64.dll
    • %User Temp%\csrss\smb\pcla-0.dll
    • %User Temp%\csrss\smb\pcre-0.dll
    • %User Temp%\csrss\smb\pcrecpp-0.dll
    • %User Temp%\csrss\smb\pcreposix-0.dll
    • %User Temp%\csrss\smb\posh-0.dll
    • %User Temp%\csrss\smb\posh.dll
    • %User Temp%\csrss\smb\pytrch.py
    • %User Temp%\csrss\smb\pytrch.pyc
    • %User Temp%\csrss\smb\riar-2.dll
    • %User Temp%\csrss\smb\riar.dll
    • %User Temp%\csrss\smb\ssleay32.dll
    • %User Temp%\csrss\smb\tibe-1.dll
    • %User Temp%\csrss\smb\tibe-2.dll
    • %User Temp%\csrss\smb\tibe.dll
    • %User Temp%\csrss\smb\trch-0.dll
    • %User Temp%\csrss\smb\trch-1.dll
    • %User Temp%\csrss\smb\trch.dll
    • %User Temp%\csrss\smb\trfo-0.dll
    • %User Temp%\csrss\smb\trfo-2.dll
    • %User Temp%\csrss\smb\trfo.dll
    • %User Temp%\csrss\smb\tucl-1.dll
    • %User Temp%\csrss\smb\tucl.dll
    • %User Temp%\csrss\smb\ucl.dll
    • %User Temp%\csrss\smb\xdvl-0.dll
    • %User Temp%\csrss\smb\zibe.dll
    • %User Temp%\csrss\smb\zlib1.dll
    • %User Temp%\csrss\smb\_pytrch.pyd
  • %User Temp%\csrss\cloudnet.exe
  • %User temp%\csrss\vc.exe
  • %Windows%\windefender.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir informaci¨®n:

  • https://{DOMAIN}/bots/register
  • https://{DOMAIN}/bots/poll
  • https://{DOMAIN}/bots/update-data
  • https://{DOMAIN}/bots/report-install
  • https://{DOMAIN}/bots/log
  • https://{DOMAIN}/bots/report
  • https://{BLOCKED}mmute.{BLOCKED}/bots/install-failure

  Soluciones

Motor de exploraci¨®n m¨ªnimo 9.850
Primer archivo de patrones de VSAPI 14.346.05
Primera fecha de publicaci¨®n de patrones de VSAPI 28 de junio de 2018
Versi¨®n de patrones OPR de VSAPI 14.347.00
Fecha de publicaci¨®n de patrones OPR de VSAPI 29 de junio de 2018

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 3

Reiniciar en modo seguro

[ aprenda m¨¢s ]

Step 4

Eliminar esta clave del Registro

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft
    • TestApp
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
    • Winmon
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon
    • Security
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
    • WinmonFS
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
    • Instances
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS\Instances
    • WinmonFS
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servicesWinmonFS
    • Security
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
    • WinmonProcessMonitor

Step 5

Eliminar este valor del Registro

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon
    • DisplayName = Winmon
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon
    • ErrorControl = 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon
    • ImagePath = \??\%System%\drivers\Winmon.sys
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon
    • Start = 3
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon
    • Type = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon\Security
    • Security = {hex values}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
    • DependOnService = FltMgr
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
    • DisplayName = WinmonFS
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
    • ErrorControl = 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
    • Group = FSFilter Activity Monitor
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
    • ImagePath = \??\%System%\drivers\WinmonFS.sys
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
    • Start = 3
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
    • Type = 2
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS\Instances
    • DefaultInstance = WinmonFS
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS\Instances\WinmonFS
    • Altitude = 370000
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS\Instances\WinmonFS
    • Flags = 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS\Security
    • Security = {hex values}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonProcessMonitor
    • DisplayName = WinmonProcessMonitor
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonProcessMonitor
    • ErrorControl = 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonProcessMonitor
    • ImagePath = \??\{hex values}\drivers\WinmonProcessMonitor.sys
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonProcessMonitor
    • Start = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonProcessMonitor
    • Type = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
    • %Windows% = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
    • %Windows%\rss = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
    • %Application Data%\EpicNet Inc\CloudNet = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
    • %User Temp%\csrss = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
    • %Application Data%\PatientVoice = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
    • %Windows%\windefender.exe = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
    • %User Temp%\wup = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
    • %System%\drivers = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
    • csrss.exe = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
    • cloudnet.exe = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
    • windefender.exe = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
    • {malware filename} = 0
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • Name = {random}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • Defender = {string}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • Servers = https://{BLOCKED}.com , https://{BLOCKED}.com
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • UUID = {value}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • Command = {value}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • FirstInstallDate = {value}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • CloudnetSource = {string}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • ServiceVersion = {string}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • SC = {value}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • PGDSE = {value}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • VC = {value}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • OSCaption = {Operating System of affected machine}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • OSArchitecture = {32 or 64}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • IsAdmin = {value}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • AV = {strings}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • PatchTime = {value}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • CPU = {CPU details of affected machine}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • GPU = {GPU details of affected machine}
  • In HKEY_CURRENT_USER\Software\Microsoft\TestApp
    • Firewall = {string}

Step 6

Restaurar este valor del Registro modificado

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\CurrentControlSet\services\wuauserv
    • From: Start = 4
      To: Start = (usually 2)

Step 8

Buscar y eliminar este archivo

[ aprenda m¨¢s ]
Puede que algunos de los archivos del componente est¨¦n ocultos. Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todos los archivos y carpetas ocultos.
  • %System%\drivers\winmon.sys
  • %System%\drivers\WinmonFS.sys
  • %System%\drivers\WinmonProcessMonitor.sys
  • %User temp%\wup\wup.exe
  • %User temp%\wup\wupv.exe
  • %User Temp%\csrss\scheduled.exe
  • %User Temp%\csrss\cloudnet.exe
  • %User temp%\csrss\vc.exe
  • %Windows%\windefender.exe
  • %User Temp%\csrss\smb\adfw-2.dll
  • %User Temp%\csrss\smb\adfw.dll
  • %User Temp%\csrss\smb\cnli-0.dll
  • %User Temp%\csrss\smb\cnli-1.dll
  • %User Temp%\csrss\smb\coli-0.dll
  • %User Temp%\csrss\smb\crli-0.dll
  • %User Temp%\csrss\smb\dmgd-1.dll
  • %User Temp%\csrss\smb\dmgd-4.dll
  • %User Temp%\csrss\smb\Doublepulsar-1.3.1.exe
  • %User Temp%\csrss\smb\esco-0.dll
  • %User Temp%\csrss\smb\Eternalblue-2.2.0.exe
  • %User Temp%\csrss\smb\exma-1.dll
  • %User Temp%\csrss\smb\exma.dll
  • %User Temp%\csrss\smb\iconv.dll
  • %User Temp%\csrss\smb\libcurl.dll
  • %User Temp%\csrss\smb\libeay32.dll
  • %User Temp%\csrss\smb\libiconv-2.dll
  • %User Temp%\csrss\smb\libxml2.dll
  • %User Temp%\csrss\smb\payload32.dll
  • %User Temp%\csrss\smb\payload64.dll
  • %User Temp%\csrss\smb\pcla-0.dll
  • %User Temp%\csrss\smb\pcre-0.dll
  • %User Temp%\csrss\smb\pcrecpp-0.dll
  • %User Temp%\csrss\smb\pcreposix-0.dll
  • %User Temp%\csrss\smb\posh-0.dll
  • %User Temp%\csrss\smb\posh.dll
  • %User Temp%\csrss\smb\pytrch.py
  • %User Temp%\csrss\smb\pytrch.pyc
  • %User Temp%\csrss\smb\riar-2.dll
  • %User Temp%\csrss\smb\riar.dll
  • %User Temp%\csrss\smb\ssleay32.dll
  • %User Temp%\csrss\smb\tibe-1.dll
  • %User Temp%\csrss\smb\tibe-2.dll
  • %User Temp%\csrss\smb\tibe.dll
  • %User Temp%\csrss\smb\trch-0.dll
  • %User Temp%\csrss\smb\trch-1.dll
  • %User Temp%\csrss\smb\trch.dll
  • %User Temp%\csrss\smb\trfo-0.dll
  • %User Temp%\csrss\smb\trfo-2.dll
  • %User Temp%\csrss\smb\trfo.dll
  • %User Temp%\csrss\smb\tucl-1.dll
  • %User Temp%\csrss\smb\tucl.dll
  • %User Temp%\csrss\smb\ucl.dll
  • %User Temp%\csrss\smb\xdvl-0.dll
  • %User Temp%\csrss\smb\zibe.dll
  • %User Temp%\csrss\smb\zlib1.dll
  • %User Temp%\csrss\smb\_pytrch.pyd

Step 9

Buscar y eliminar estas carpetas

[ aprenda m¨¢s ]
Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todas las carpetas ocultas.
  • %User Temp%\csrss
  • %Windows%\rss

Step 10

Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como TROJ_GLUPTEBA.TIFODAJ En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.

Step 11

Descargar y aplicar este parche de seguridad No utilice estos productos hasta que se hayan instalado los parches adecuados. live casino online recomienda a los usuarios que descarguen los parches cr¨ªticos en cuanto los proveedores los pongan a su disposici¨®n.