Trojan.Win32.DLOADR.TIOIBEIB

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Agrega los procesos siguientes:

• "%System%\WScript.exe" "%User Temp%\RarSFX0\install1.vbs"
• %User Temp%\RarSFX0\install1.vbs
• setup1.bat
• %System%\reg.exe REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Updates 1" /t REG_SZ /d ""%System Root%\Program Files\RDP Wrapper"\Updates1.vbs" /f
• %System Root%\Program Files\RDP Wrapper\Updates1.vbs "%System Root%\Program Files\RDP Wrapper"\Updates1.vbs
• "%System%\WScript.exe" "%System Root%\Program Files\RDP Wrapper\Updates1.vbs"
• %System Root%\Program Files\RDP Wrapper\Updates1.vbs
• "%System%\WScript.exe" "%System Root%\Program Files\RDP Wrapper\start1.vbs"
• start1.vbs
• "%System Root%\Program Files\RDP Wrapper\start1.bat"
• start1.bat
• fsutil dirty query %System Root%
• schtasks /create /f /sc ONSTART /tn "RDP Wrapper Autoupdate" /tr "cmd.exe /C \"%System Root%\Program Files\RDP Wrapper\autoupdate.bat\" -log" /ru SYSTEM /delay 0000:10
• %Windows%\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe
• %System%\sppsvc.exe
• %System%\svchost.exe -k LocalServiceAndNoImpersonation
• "%System Root%\Program Files\Windows Media Player\wmpnetwk.exe"
• %System%\svchost.exe -k WerSvcGroup
• %System%\WerFault.exe -u -p 2224 -s 1240
• %System%\WerFault.exe -u -p 2432 -s 204
• %System%\WerFault.exe -u -p 1352 -s 44
• %System%\WerFault.exe -u -p 2700 -s 52
• %System%\WerFault.exe -u -p 2004 -s 1224
• %System%\WerFault.exe -u -p 2568 -s 1288
• %System%\WerFault.exe -u -p 1640 -s 188
• %System%\WerFault.exe -u -p 1640 -s 196
• %System%\WerFault.exe -u -p 1640 -s 192

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Crea las carpetas siguientes:

• %System Root%\Program Files\RDP Wrapper
• %User Temp%\RarSFX0

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Otras modificaciones del sistema

Elimina los archivos siguientes:

• %Windows%\Tasks\RDP Wrapper Autoupdate.job

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Rutina de infiltración

Infiltra los archivos siguientes:

• %User Temp%\RarSFX0\start1.vbs
• %System Root%\Program Files\RDP Wrapper\start1.vbs
• %User Temp%\RarSFX0\install1.vbs
• %System Root%\Program Files\RDP Wrapper\Updates1.vbs
• %System Root%\Program Files\RDP Wrapper\setup1.bat
• %System Root%\Program Files\RDP Wrapper\install1.vbs
• %System Root%\Program Files\RDP Wrapper\autoupdate.bat
• %All Users Profile%\Microsoft\Windows\DRM\drmstore.hds
• %User Temp%\RarSFX0\Updates1.vbs
• %System Root%\Program Files\RDP Wrapper\start1.bat
• %System Root%\Program Files\RDP Wrapper\uninstall.bat
• %All Users Profile%\Microsoft\Network\Downloader\qmgr1.dat
• %All Users Profile%\Microsoft\Network\Downloader\qmgr0.dat
• %All Users Profile%\Microsoft\Windows\DRM\v3ks.sec
• %AppDataLocal%\Microsoft\Media Player\CurrentDatabase_372.wmdb

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).