BKDR_HELOAG

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Windows%\ThunderUpdate.exe
• %Windows%\csrse.exe
• %Windows%\conme.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SSDT_TOOL\
0000
Service = "SSDT_TOOL"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SSDT_TOOL
ImagePath = "\??\{malware path}\SSDT_TOOL.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SSDT_TOOL
DisplayName = "SSDT_TOOL"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SSDT_TOOL\Security
Security = "{hex values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SSDT_TOOL\Enum
0 = "Root\LEGACY_SSDT_TOOL\0000"

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe %Windows%\ThunderUpdate.exe"

(Note: The default value data of the said registry entry is Explorer.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe %Windows%\csrse.exe"

(Note: The default value data of the said registry entry is Explorer.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe %Windows%\conme.exe asds"

(Note: The default value data of the said registry entry is Explorer.exe.)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
UncheckedValue = "0"

(Note: The default value data of the said registry entry is 1.)