Analizzato da: Kathleen Notario   
 

Trojan.Win32.Olmarik.agn (Sunbelt)

 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Trojan

  • Distruttivo?:
    No

  • Crittografato?:

  • In the wild::

  Panoramica e descrizione

Este malware puede haberlo descargado otro malware desde sitios remotos.

Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.

  Dettagli tecnici

Dimensione file: Varia
Residente in memoria:
Data di ricezione campioni iniziali: 06 gennaio 2011
Carica distruttiva: Connects to URLs/IPs, Downloads files, Drops files, Modifies system registry

Detalles de entrada

Este malware puede descargarlo desde sitio(s) remoto(s) el malware siguiente:

  • TROJ_OLMARIK.EFF

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

  • %WINDOWS%\WinSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll - also detected as RTKT_ZACCESS.SM1

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{malware filename}
ImagePath = {malware path and file name}.sys

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\*PNP0296\
0000
Service = {malware file name}

Modifica las siguientes entradas de registro:

HKEY_CLASSES_ROOT\CLSID\{4FA18276-912A-11D1-AD9B-00C04FD8FDFF}\
InprocServer32
@ = %WINDOWS%\WinSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll

(Note: The default value data of the said registry entry is %System%\wbem\wbemcore.dll.)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4FA18276-912A-11D1-AD9B-00C04FD8FDFF}\InprocServer32
@ = %WINDOWS%\WinSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll

(Note: The default value data of the said registry entry is %System%\wbem\wbemcore.dll.)

Capacidades de rootkit

Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

  • http://{BLOCKED}.{BLOCKED}.130.34/{BLOCKED}e.db

Guarda los archivos que descarga con los nombres siguientes:

  • %Windows%\Temp\{random}.tmp

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Trend Micro detecta el archivo descargado como:

  • TROJ_DROPPR.EFF

  Soluzioni

Motore di scansione minimo: 9.200
Versione pattern VSAPI OPR: 8.425.00
Data di pubblicazione del pattern VSAPI OPR: 14 settembre 2011

Step 1

INSTRUCCIONES PARA LA ELIMINACIÓN AUTOMÁTICA

Para eliminar automáticamente este malware del sistema, utilice la aplicación http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/FIX_RTKT_ZACESS.SM1.zip

>Fixtool especial de Trend Micro. Descargue, extraiga y ejecute Fixtool en la misma carpeta donde se ubica el archivo de patrones más reciente de Trend Micro. Para obtener instrucciones detalladas, consulte el archivo de texto que se proporciona junto con Fixtool.

INSTRUCCIONES PARA LA ELIMINACIÓN MANUAL

Step 2

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 4

Elimine los archivos de malware que se han introducido/descargado mediante RTKT_ZACESS.SM1

    TROJ_DROPPR.EFF

Step 5

Identificar y eliminar los archivos detectados como RTKT_ZACESS.SM1 mediante el disco de inicio o la Consola de recuperación

[ learnMore ]

Step 6

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    • {malware filename}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
    • *PNP0296

Step 7

Restaurar este valor del Registro modificado

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_CLASSES_ROOT\CLSID\{4FA18276-912A-11D1-AD9B-00C04FD8FDFF}\InprocServer32
    • From: @ = %WINDOWS%\WinSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll
      To: %System%\wbem\wbemcore.dll.)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4FA18276-912A-11D1-AD9B-00C04FD8FDFF}\InprocServer32
    • From: @ = %WINDOWS%\WinSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll
      To: %System%\wbem\wbemcore.dll.)

Step 8

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como RTKT_ZACESS.SM1 En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Sondaggio