Plataforma:

Windows 98, ME, NT, 2000, XP, Server 2003

 Riesgo general:
 Infección divulgada:
 Impacto en el sistema :
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Este malware puede haberlo descargado otro malware desde sitios remotos.

Roba información confidencial como nombres de usuario y contraseñas, particularmente para juegos concretos. La información sustraída la pueden usar los ciberdelincuentes con ánimo de lucro, quienes pueden acceder a la información.

  Detalles técnicos

Tamaño del archivo Varía
Residente en memoria

Detalles de entrada

Este malware puede haberse descargado desde el/los sitio(s) remoto(s) siguiente(s):

  • http://{BLOCKED}nts.us/ma.exe

Este malware puede descargarlo desde sitio(s) remoto(s) el malware siguiente:

  • TROJ_DLOAD.VAC

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\xiaosos.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKCU\SOFTWARE\MICROSOFT\
Windows\CurrentVersion\Run
loopsos = "%System%\xiaosos.exe"

Rutina de infiltración

Infiltra los archivos siguientes:

  • %System%\xiaodll0.dll - detected as TSPY_GAMETHI.QJB

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Robo de información

Roba información confidencial como nombres de usuario y contraseñas, particularmente para juegos concretos.

  Soluciones

Motor de exploración mínimo 8.900

Step 1

Reiniciar en modo seguro

[ aprenda más ]

Step 2

Eliminar este valor del Registro

[ aprenda más ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

 
  • In HKCU\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Run
    • loopsos=%System%\xiaosos.exe

Step 3

Buscar y eliminar estos archivos

[ aprenda más ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
  • %System%\xiaosos.exe 
  • %System%\xiaodll0.dll 
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAYÚS+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
      • %System%\xiaosos.exe 
      • %System%\xiaodll0.dll