Author: adel   
 PLATFORM:

Windows 98, ME, NT, 2000, XP, Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

Para obtener una visión integral del comportamiento de este Trojan, consulte el diagrama de amenazas que se muestra a continuación.

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

No obstante, de este modo no se podrá acceder a los sitios mencionados.

  TECHNICAL DETAILS

Używane porty: TCP Port 443
File size: różni się
File type: PE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 14 de stycznia de 2010

Detalles de entrada

Puede haberlo descargado el siguiente malware/grayware/spyware desde sitios remotos:

  • JS_DLOADER.FIS

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

  • %System%\Rasmon.dll - also detected as TROJ_HYDRAQ.SMA

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RaS{Random}
ImagePath = %System%\svchost.exe -k netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Ups{Random}
ImagePath = %System%\svchost.exe -k netsvcs

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\Software\Sun\
1.1.2
AppleTlk =  

HKEY_LOCAL_MACHINE\Software\Sun\
1.1.2
IsoTp =  

Rutina de puerta trasera

Abre los puertos siguientes:

  • TCP port 443

Rutina de descarga

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

  • Clear event logs
  • Execute MDM.EXE using %System%\cmd.exe
  • Execute other files
  • List drives
  • List services
  • Send and receive data from a remote site
  • Terminate processes
  • Terminate/delete services

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

  SOLUTION

Minimum scan engine: 8.900
First VSAPI Pattern File: 6.784.05
First VSAPI Pattern Release Date: 19 de stycznia de 2010
VSAPI OPR PATTERN-VERSION: 6.785.00
VSAPI OPR PATTERN DATE: 19 de stycznia de 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante TROJ_HYDRAQ.SMA

    JS_DLOADER.FIS

Step 3

Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como TROJ_HYDRAQ.SMA

Step 4

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\Software
    • Sun
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • RaS{random}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • Ups{random}

Step 5

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción "Más opciones avanzadas" para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos. DATA_GENERIC
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAYÚS+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
      DATA_GENERIC

    • Step 6

    Buscar y eliminar el archivo detectado como TROJ_HYDRAQ.SMA

    [ learnMore ]


    Did this description help? Tell us how we did.

    Zugehörige Datei