TSPY_USTEAL.USRJ
Mal/RufTar-C (Sophos) ,Trojan horse PSW.Generic10.BNGG (AVG) ,W32/ZBOT.CDL!tr (Fortinet) ,W32/Usteal.C.gen!Eldorado (generic, not disinfectable) (Fprot) ,Trojan-Spy.Win32.Usteal (Ikarus) ,HEUR:Trojan.Win32.Generic (Kaspersky) ,Trojan:Win32/Ransom.FO (Microsoft) ,PWS-FAPK!83050FBF1095 (McAfee) ,probably a variant of Win32/Spy.Usteal.C trojan (Eset) ,Trojan-Spy.Win32.Usteal.da (v) (Sunbelt)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type:
Spyware
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
Para obtener una visi¨®n integral del comportamiento de este Spyware, consulte el diagrama de amenazas que se muestra a continuaci¨®n.
TECHNICAL DETAILS
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Agrega las carpetas siguientes:
- {Malware Path}\ufr_reports
Infiltra y ejecuta los archivos siguientes:
- %User Temp%\222.exe - detected as TROJ_RANSOM.SMAR
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:
- UFR3
Robo de informaci¨®n
Recopila los siguientes datos:
- System Information
Informaci¨®n sustra¨ªda
Este malware guarda la informaci¨®n robada en el archivo siguiente:
- {Malware Path}\ufr_reports\report_{dd-mm-yyyy}_{System IDs}-{random}.bin
Puntos de infiltraci¨®n
La informaci¨®n robada se carga en los sitios Web siguientes:
- {BLOCKED}.{BLOCKED}i.esy.es
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 2
Elimine los archivos de malware que se han introducido/descargado mediante TSPY_USTEAL.USRJ
- ?