TROJ_EMOTET.XXTB

Puede haberlo infiltrado otro malware.

Detalles de entrada

Puede haberlo infiltrado el malware siguiente:

• JS_EMOTET

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Application Data%\{random name}\{random name}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Técnica de inicio automático

Infiltra el siguiente acceso directo dirigido a su copia en la carpeta de inicio del usuario para que se ejecute automáticamente cada vez que arranque el sistema:

• %User Startup%\{random name}.lnk

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

• {BLOCKED}.{BLOCKED}.166.45:8080
• {BLOCKED}.{BLOCKED}.136.67:443
• {BLOCKED}.{BLOCKED}.218.25:443
• {BLOCKED}.{BLOCKED}.137.34:7080
• {BLOCKED}.{BLOCKED}.254.64:8080
• {BLOCKED}.{BLOCKED}.220.214:8080
• {BLOCKED}.{BLOCKED}.221.180:7080
• {BLOCKED}.{BLOCKED}.27.246:8080
• {BLOCKED}.{BLOCKED}.246.7:8080
• {BLOCKED}.{BLOCKED}.220.79:8080

Guarda los archivos que descarga con los nombres siguientes:

• %User Temp%\{random filename}.tmp

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).