TROJ_BREDOLAB.EM
Windows 98, ME, NT, 2000, XP, Server 2003
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos. Puede haberlo infiltrado otro malware. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Despu¨¦s ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.
Este malware se elimina tras la ejecuci¨®n.
TECHNICAL DETAILS
Detalles de entrada
Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.
Puede haberlo infiltrado otro malware.
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Crea las siguientes copias de s¨ª mismo en el sistema afectado:
- %User Startup%\srvklw32.exe
(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Men¨² Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Men¨² Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Men¨² Inicio\Programas\Inicio).
)Se introduce en los siguientes procesos que se ejecutan en la memoria del sistema afectado:
- svchost.exe
Rutina de infiltraci¨®n
Infiltra los archivos siguientes:
- C:\Documents and Settings\NetworkService\Application Data\hwzypv.dat
- %Application Data%\avdrn.dat
- %System%\fjhdyfhsn.bat - detected as BAT_KILLFILE.AK
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Rutina de descarga
Accede a los siguientes sitios Web para descargar archivos:
- http://{BLOCKED}g.ru/new/controller.php?action=bot&entity_list=&first={random}&rnd={random}&uid=1&guid={random}
- http://{BLOCKED}.{BLOCKED}.203.114/mybackup20.rar
- http://{BLOCKED}.{BLOCKED}.82.186/mybackup20.rar
- http://{BLOCKED}.{BLOCKED}.237.163:8080/images/bot.bin - detected as RTKT_BUBNIX.A
- http://{BLOCKED}.{BLOCKED}.177.87:8080/images/bot.bin - detected as RTKT_BUBNIX.A
- http://{BLOCKED}.{BLOCKED}.50.135:8080/images/bot.bin - detected as RTKT_BUBNIX.A
Despu¨¦s ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.
Otros detalles
Este malware se elimina tras la ejecuci¨®n.
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 2
Elimine los archivos de malware que se han introducido/descargado mediante TROJ_BREDOLAB.EM
- BAT_KILLFILE.AK
- RTKT_BUBNIX.A
Step 3
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como TROJ_BREDOLAB.EM En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Step 4
Buscar y eliminar estos archivos
- C:\Documents and Settings\NetworkService\Application Data\hwzypv.dat
- %Application Data%\avdrn.dat
Did this description help? Tell us how we did.