TSPY_BEBLOH.YMNPV
Trojan.Win32.Yakes.wxoh (Kaspersky), Trojan:Win32/Tiggre!rfn (Microsoft)
Windows
Threat Type:
Trojan Spy
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Crea las siguientes copias de s¨ª mismo en el sistema afectado:
- %Program Files%\Windows NT\{random filename}.exe
- (Note: Creation of this copy is triggered when the affected system is shutting down)
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
)Agrega los procesos siguientes:
- explorer.exe
Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:
- Uz{Random Hex}
Este malware inyecta c¨®digos en el/los siguiente(s) proceso(s):
- The created "explorer.exe" by this malware
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random string} = "%Application Data%\{random string}.lnk"
- (Note: Creation of this registry entry is triggered when the affected system is shutting down)
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:
HKEY_LOCAL_MACHINE\SOFTWARE\{Random Key}
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\{random key}
(Default) = {Hex Values}
Robo de informaci¨®n
Recopila los siguientes datos:
- Machine Name
- OS Information (Version, Product ID, Name, Install Date)
- Explorer File Information
- Volume Serial Number
- Network Configuration (IP address, Socket, Ports)
- Keyboard Layout
Informaci¨®n sustra¨ªda
Este malware env¨ªa la informaci¨®n recopilada a la siguiente URL a trav¨¦s de HTTP POST:
- https://{BLOCKED}exir.com/auth/tver={value}&vcmd={value}&cc={value}&hh={hex values}&ipcnf={IP address}+&sckport={value}&pros={value}&keret={value};&email={value}
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 3
Reiniciar en modo seguro
Step 4
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random string} = "%Application Data%\{random string}.lnk"
- {random string} = "%Application Data%\{random string}.lnk"
- In HKEY_LOCAL_MACHINE\SOFTWARE
- {Random Key}
- {Random Key}
Step 5
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\{random key}
- (Default) = {Hex Values}
- (Default) = {Hex Values}
Step 6
Buscar y eliminar este archivo
- %Program Files%\Windows NT\{random filename}.exe
Step 7
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como TSPY_BEBLOH.YMNPV En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Did this description help? Tell us how we did.