Trojan.Win32.YAKES.AZ

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Crea las carpetas siguientes:

• %Application Data%\Microsoft\{FCD4F1F4-B480-41AB-B44F-928AC83B62F6}\ss
• %Application Data%\Microsoft\{FCD4F1F4-B480-41AB-B44F-928AC83B62F6}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Rutina de infiltración

Infiltra los archivos siguientes:

• %User Temp%\x64btit.txt
• %User Temp%\GetX64BTIT.exe
• %Application Data%\Microsoft\{FCD4F1F4-B480-41AB-B44F-928AC83B62F6}\bac58a5f.cfg

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Otros detalles

It connects to the following possibly malicious URL:

• http://{BLOCKED}9.206.212/tor/status-vote/current/consensus
• http://{BLOCKED}0.176.91/{random path}
• http://{BLOCKED}7.75.110/{random path}
• http://{BLOCKED}.47.17/{random path}
• http://{BLOCKED}143.139/{random path}
• http://{BLOCKED}.14.245/{random path}
• http://{BLOCKED}2.137.211/{random path}
• http://{BLOCKED}.64.201/{random path}
• http://{BLOCKED}3.45.253/{random path}
• http://{BLOCKED}.236.224/{random path}
• http://{BLOCKED}51.47/{random path}
• http://{BLOCKED}0.44.108/{random path}
• http://{BLOCKED}.178.60/{random path}
• http://{BLOCKED}93.112/{random path}
• http://{BLOCKED}100.202/{random path}
• http://{BLOCKED}.22.113/{random path}
• http://{BLOCKED}3.214.137/{random path}
• http://{BLOCKED}.221.131/{random path}
• http://{BLOCKED}132.148/{random path}
• http://{BLOCKED}.140.4/{random path}
• http://{BLOCKED}.193.20/{random path}
• http://{BLOCKED}.146.80/{random path}
• http://{BLOCKED}.100.7/{random path}
• http://{BLOCKED}4.72.115/{random path}
• http://{BLOCKED}.76.120/{random path}
• http://api.{BLOCKED}y.org
• http://time-a.{BLOCKED}t.gov
• {BLOCKED}.212.163
• {BLOCKED}.0.138
• {BLOCKED}20.12
• {BLOCKED}.64.150
• {BLOCKED}.180.90
• {BLOCKED}.169.254
• {BLOCKED}1.192.160
• {BLOCKED}.33.69