Author: Erika Bianca Mendoza   
 PLATFORM:

Windows 98, ME, NT, 2000, XP, Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

Para obtener una visi¨®n integral del comportamiento de este Trojan, consulte el diagrama de amenazas que se muestra a continuaci¨®n.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

  TECHNICAL DETAILS

File size: 179,712 bytes
File type: PE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 13 maja 2010
PAYLOAD: Turns systems into proxy servers

Detalles de entrada

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Otros detalles

Seg¨²n el an¨¢lisis de los c¨®digos, tiene las siguientes capacidades:

  • Connects to the target Twitter user to read the attacker's tweets.These tweets can be commands for the botnet. Some of these commands are as follows:
    • .DOWNLOAD*{link}*[0/1] - This command orders the bot servers to download a file from a specified link. If a 0 (zero) is appended in the URL, it downloads the file only. Else, if the appended number is 1, the bot downloads and executes the file.
    • .DDOS*{IP}*{UDP port} - This command orders the bot servers to launch a UDP distributed denial of service (DDoS) attack to the declared IP address.
    • .VISIT*{link}*[0/1] - The .visit command connects the botnet servers to the link. The 0 (zero) at the end keeps the Internet browser hidden, and the 1 at the end makes the browser visible. An attacker can use this command to open a malicious site or cause confusion at the victim's end when a funny or scary website is opening about every 20 seconds.
    • .SAY*{message} - This command allows the bot servers to use the Text-to-Speech application of Microsoft Windows to read the tweet. It keeps repeating the message every 20 seconds until a .STOP command tweet is issued.
    • .STOP - This command stops all activities of connected bot servers.
    • .REMOVEALL - This commands removes all connected bot servers.
  • Creates the Twitter bot server file, TwitterNet.exe, that live casino online also detects as TROJ_TWEBOT.STB.

Muestra las im¨¢genes siguientes:


  SOLUTION

Minimum scan engine: 8.900
VSAPI OPR PATTERN-VERSION: 7.167.00
VSAPI OPR PATTERN DATE: 14 maja 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante TROJ_TWEBOT.STB

Step 3

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como TROJ_TWEBOT.STB En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Did this description help? Tell us how we did.

Zugeh?rige Datei