TSPY_BANCOS.BVB
TrojanSpy:Win32/Bancos.AEV (Microsoft)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Spyware
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Detalles de entrada
Puede haberse descargado desde los sitios remotos siguientes:
- http://{BLOCKED}2012.xpg.com.br/boa.pdf
Instalación
Crea las carpetas siguientes:
- %System Root%\Documents and Settings\All Users\Application Data\TEMP
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\CLSID\{83447388-F457-4723-9D09-6F486F161E1A}
HKEY_CLASSES_ROOT\CLSID\{8F577DD6-A889-B773-13C5-1FBA13C51FBA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{8F577DD6-A889-B773-13C5-1FBA13C51FBA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{83447388-F457-4723-9D09-6F486F161E1A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
EXT
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\CLSID\{83447388-F457-4723-9D09-6F486F161E1A}\
InprocServer32
Default = "{malware path and filename}"
HKEY_CLASSES_ROOT\CLSID\{8F577DD6-A889-B773-13C5-1FBA13C51FBA}\
InprocServer32
Default = "%System%\dxtmsft.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{83447388-F457-4723-9D09-6F486F161E1A}\InprocServer32
Default = "{malware path and filename}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
EXT\CLSID
{83447388-F457-4723-9D09-6F486F161E1A} = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_ENABLE_SCRIPT_PASTE_URLACTION_IF_PROMPT
iexplore.exe = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{83447388-F457-4723-9D09-6F486F161E1A}
NoExplorer = "dword:00000001"