TSPY_URSNIF.YNJ
TrojanSpy:Win32/Ursnif.gen!K (Microsoft)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type:
Spyware
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Crea las siguientes copias de s¨ª mismo en el sistema afectado:
- %All Users Profile%\Application Data\{random file name}.exe
Este malware infiltra el/los siguiente(s) archivo(s):
- %System%\{random file name 2}.dll - also detected by live casino online as TSPY_URSNIF.YNJ
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Finaliza la ejecuci¨®n de la copia que ejecut¨® inicialmente y ejecuta en su lugar la copia que ha creado.
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name} = "%All Users Profile%\Application Data\{random file name}.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:
HKEY_CURRENT_USER\SOFTWARE\Microshit
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Session Manager\AppCertDlls
{random file name} = "%System%\{random file name 2}.dll"
Informaci¨®n sustra¨ªda
Este malware env¨ªa la informaci¨®n recopilada a la siguiente URL a trav¨¦s de HTTP POST:
- http://{BLOCKED}wsixlatam.ru/P4ND3M1CB00BF4C3/{random string}/
- http://{BLOCKED}ube.ru/P4ND3M1CB00BF4C3/{random string}/
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 2
Identificar y terminar los archivos detectados como TSPY_URSNIF.YNJ
- Para los usuarios de Windows 98 y ME, puede que el Administrador de tareas de Windows no muestre todos los procesos en ejecuci¨®n. En tal caso, utilice un visor de procesos de una tercera parte (preferiblemente, el Explorador de procesos) para terminar el archivo de malware/grayware/spyware. Puede descargar la herramienta en cuesti¨®n .
- Si el archivo detectado aparece en el Administrador de tareas o en el Explorador de procesos, pero no puede eliminarlo, reinicie el equipo en modo seguro. Para ello, consulte este enlace para obtener todos los pasos necesarios.
- Si el archivo detectado no se muestra en el Administrador de tareas o el Explorador de procesos, prosiga con los pasos que se indican a continuaci¨®n.
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random file name} = "%All Users Profile%\Application Data\{random file name}.exe"
- {random file name} = "%All Users Profile%\Application Data\{random file name}.exe"
- In HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls
- {random file name} = "%System%\{random file name 2}.dll"
- {random file name} = "%System%\{random file name 2}.dll"
Step 5
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como TSPY_URSNIF.YNJ En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Did this description help? Tell us how we did.