An¨¢lisis realizado por : Erika Bianca Mendoza   
 Plataforma:

Windows 98, ME, NT, 2000, XP, Server 2003

 Riesgo general:
 Potencial de destrucci¨®n:
 Potencial de distribuci¨®n:
 Infecci¨®n divulgada:
Bajo
Medio
High
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
    No

  • In the Wild:
    ³§¨ª

  Resumen y descripci¨®n

Para obtener una visi¨®n integral del comportamiento de este Trojan, consulte el diagrama de amenazas que se muestra a continuaci¨®n.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

  Detalles t¨¦cnicos

Tama?o del archivo 179,712 bytes
Tipo de archivo PE
Residente en memoria ³§¨ª
Fecha de recepci¨®n de las muestras iniciales 13 May 2010
Carga ¨²til Turns systems into proxy servers

Detalles de entrada

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Otros detalles

Seg¨²n el an¨¢lisis de los c¨®digos, tiene las siguientes capacidades:

  • Connects to the target Twitter user to read the attacker's tweets.These tweets can be commands for the botnet. Some of these commands are as follows:
    • .DOWNLOAD*{link}*[0/1] - This command orders the bot servers to download a file from a specified link. If a 0 (zero) is appended in the URL, it downloads the file only. Else, if the appended number is 1, the bot downloads and executes the file.
    • .DDOS*{IP}*{UDP port} - This command orders the bot servers to launch a UDP distributed denial of service (DDoS) attack to the declared IP address.
    • .VISIT*{link}*[0/1] - The .visit command connects the botnet servers to the link. The 0 (zero) at the end keeps the Internet browser hidden, and the 1 at the end makes the browser visible. An attacker can use this command to open a malicious site or cause confusion at the victim's end when a funny or scary website is opening about every 20 seconds.
    • .SAY*{message} - This command allows the bot servers to use the Text-to-Speech application of Microsoft Windows to read the tweet. It keeps repeating the message every 20 seconds until a .STOP command tweet is issued.
    • .STOP - This command stops all activities of connected bot servers.
    • .REMOVEALL - This commands removes all connected bot servers.
  • Creates the Twitter bot server file, TwitterNet.exe, that live casino online also detects as TROJ_TWEBOT.STB.

Muestra las im¨¢genes siguientes:


  Soluciones

Motor de exploraci¨®n m¨ªnimo 8.900
Versi¨®n de patrones OPR de VSAPI 7.167.00
Fecha de publicaci¨®n de patrones OPR de VSAPI 14 de mayo de 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante TROJ_TWEBOT.STB

Step 3

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como TROJ_TWEBOT.STB En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Rellene nuestra encuesta!

Sobre el malware