BKDR_VISEL.FO
Trojan:Win32/Strigy.A (Microsoft); ackdoor.Loknod (Symantec)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Puede haberlo infiltrado otro malware.
Elimina archivos para impedir la ejecuci¨®n correcta de programas y aplicaciones.
Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. Se conecta a un sitio Web para enviar y recibir informaci¨®n.
Recopila informaci¨®n espec¨ªfica del sistema afectado.
TECHNICAL DETAILS
Detalles de entrada
Puede haberlo infiltrado el malware siguiente:
- TROJ_MDROP.ZD
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Agrega las carpetas siguientes:
- c:\a
Este malware infiltra el/los siguiente(s) archivo(s):
- %User Temp%\print32.dll - also detected as BKDR_VISEL.FO
- %Program Files%\Common Files\odbc.nls - also detected as BKDR_VISEL.FO
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).)Crea las siguientes copias de s¨ª mismo en el sistema afectado:
- %Windows%\Temp\s{random numbers}.dat
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Su componente DLL se inyecta en el(los) siguiente(s) proceso(s):
- spoolsv.exe
Otras modificaciones del sistema
Elimina los archivos siguientes:
- %Program Files%\Common Files\odbc_dmc.nls
- %Program Files%\Common Files\odbc_orp.nls
- %Program Files%\Common Files\odbc_res.nls
- %Program Files%\Common Files\odbc_lif.nls
- %Program Files%\Common Files\odbc_ger.nls
- %Program Files%\Common Files\odbc_rcs.nls
- %Program Files%\Common Files\odbc_div.nls
- %Program Files%\Common Files\odbc_dua.nls
- %Program Files%\Common Files\odbc_rehto.nls
- %Program Files%\Common Files\dumpodbc.exe
- %Program Files%\Common Files\odbc_txe.nls
- %Program Files%\Common Files\odbc_gpj.nls
- %Program Files%\Common Files\odbc_yek.nls
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
)Modifica las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Spooler
FailureActions = {HEX values}
(Note: The default value data of the said registry entry is {default value}.)
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Change the port it uses when connecting to its C&C server
- Check contents of %Program Files%\Common Files folder
- Connect to a new C&C IP address
- Connect to a website via HTTP
- Create/Manipulate threads
- Download and execute files
- Load/free libraries
- Log user keystrokes
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
)Se conecta a los sitios Web siguientes para enviar y recibir informaci¨®n:
- {BLOCKED}.{BLOCKED}.9.132
Finalizaci¨®n del proceso
Finaliza los servicios siguientes si los detecta en el sistema afectado:
- spooler
- stisvc
- wuauserv
- Norton Internet Security
- Norton 360
- Norton AntiVirus
Robo de informaci¨®n
Recopila la siguiente informaci¨®n del sistema afectado:
- Computer name
- IP address
- Operating system information
Informaci¨®n sustra¨ªda
Este malware guarda la informaci¨®n robada en el archivo siguiente:
- c:\a\b.txt
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 2
Elimine los archivos de malware que se han introducido/descargado mediante BKDR_VISEL.FO
Step 3
Reiniciar en modo seguro
Step 4
Restaurar este valor del Registro modificado
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
- From: FailureActions = {HEX values}
To: FailureActions = {Default values}
- From: FailureActions = {HEX values}
Step 5
Buscar y eliminar esta carpeta
Step 6
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como BKDR_VISEL.FO En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Step 8
Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como BKDR_VISEL.FO En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Did this description help? Tell us how we did.