TROJ_HYDRAQ.SMA
Windows 98, ME, NT, 2000, XP, Server 2003
Tipo de malware
Trojan
Destructivo?
No
Cifrado
No
In the Wild:
Sí
Resumen y descripción
Para obtener una visión integral del comportamiento de este Trojan, consulte el diagrama de amenazas que se muestra a continuación.
Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.
No obstante, de este modo no se podrá acceder a los sitios mencionados.
Detalles técnicos
Detalles de entrada
Puede haberlo descargado el siguiente malware/grayware/spyware desde sitios remotos:
- JS_DLOADER.FIS
Instalación
Este malware infiltra el/los siguiente(s) archivo(s):
- %System%\Rasmon.dll - also detected as TROJ_HYDRAQ.SMA
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RaS{Random}
ImagePath = %System%\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Ups{Random}
ImagePath = %System%\svchost.exe -k netsvcs
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\Software\Sun\
1.1.2
AppleTlk =
HKEY_LOCAL_MACHINE\Software\Sun\
1.1.2
IsoTp =
Rutina de puerta trasera
Abre los puertos siguientes:
- TCP port 443
Rutina de descarga
No obstante, de este modo no se podrá acceder a los sitios mencionados.
Otros detalles
Según el análisis de los códigos, tiene las siguientes capacidades:
- Clear event logs
- Execute MDM.EXE using %System%\cmd.exe
- Execute other files
- List drives
- List services
- Send and receive data from a remote site
- Terminate processes
- Terminate/delete services
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)
Soluciones
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Elimine los archivos de malware que se han introducido/descargado mediante TROJ_HYDRAQ.SMA
- JS_DLOADER.FIS
Step 3
Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como TROJ_HYDRAQ.SMA
Step 4
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\Software
- Sun
- Sun
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- RaS{random}
- RaS{random}
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- Ups{random}
- Ups{random}
Step 5
Buscar y eliminar estos archivos
- DATA_GENERIC
Step 6
Buscar y eliminar el archivo detectado como TROJ_HYDRAQ.SMA
Rellene nuestra encuesta!