TROJ_BANKER.SWR

Publish Date: 10 de октября de 2012

Virus:Win32/Induc.A (Microsoft); W32.Induc.A (Symantec); Trojan.Win32.Malware.a (fs) (Sunbelt)

PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

OVER ALL RISK RATING:

DAMAGE POTENTIAL::

DISTRIBUTION POTENTIAL::

REPORTED INFECTION:

Low

Medium

High

Critical

Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes

OVERVIEW

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

TECHNICAL DETAILS

File size: 298,536 bytes

File type: EXE

Memory resident: No

INITIAL SAMPLES RECEIVED DATE: 24 de сентября de 2012

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

%User Temp%\{malware file name}

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Crea las carpetas siguientes:

%System Root%\Temp

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Otras modificaciones del sistema

Elimina los archivos siguientes:

%User Temp%\{malware file name}

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\Software\pointfreeEx\
Data

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1F3EA144C4CA46 = "00CA"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
19465746DF347A = "196E5B34A0412140440F67"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
19464D0227B3 = "39E2ECD346D5FD0EBF83F3"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1CCE4785AC0D6C9297753585 = "196E5B34A0412140440F67D309C81A8ED9"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
0C0F8513A8A51A = "39F99780038609"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1CCE4785AC0D79261A25947882 = "39F98F2585F475"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
0D694B71DA2089C604CCF8B31C29DC66 = "2DE045591988618C"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1CCE4785AC0D6FF7C2E82D03EC = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
00ED0FABC1B922F8D1AD903E = "39F99333070E3DB3426F"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
00ED0FABC1B922F8D1AD903E4A2D0EAE6D5D = "39F99333070E3DB3426F"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
0A20E4A92F12697F8E009CBFB7F0 = "207FCE3EF81A9C"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
0A20E4A92F12697F8E009CBFB7F07A0ED0683AD9 = "207FCE3EF81A9C"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
0A2EC4F38F08D94BE348270F94 = "2AAB46EA0B7D67"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
0A2EC4F38F08D94BE348270F94055864A4A73D = "2AAB46EA0B7D67"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
0172590419AD3E27EBA45705FF9E = "1975091BB7169F67736EA0FA"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
00CF436C77B5624FEC2E = "39E36A0E3047DCE7"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
02CEDB1FAE44A3D2A72DAF5D16 = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1CCC962D48119859789C58DECC = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
02CEDB1FAE44A3D2A72DAF5D1610 = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1CCC962D48119859789C58DECC3B = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
0F47C0B54046FA6E0B = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1B4CCAC678FA028185520FE7 = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1B4CC94BC5BDD7 = "1ADAA034E49F662698BBB2788A4F41A05ADC8451"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
00ED1A50B75D009312D3D3E24935 = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1CD0027BD929C7EC21D0650CECE26BD2 = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
0C0F853EC3E6853BB67B86BE9D47 = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
0A27FC06E9838F33 = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
0490A2EBBC5A700C4C481BE861B5C6 = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
00C68C0AC891FEB4CB8CC5834641A9 = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
19737765703DA423730329BE4898A158661A = "1B7997"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
19737765703DA436732A91A098F827 = "0F6552BEE684853225"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
02CEDB044B4769E63A82 = "0497A757A18E0A5DF7"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1AFEAD1090DFF6 = "3C3F3AB0E8CBFFFDC8442750"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1AFEAD108C32898BB2 = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1B4CCD033C93083A4184FEB1C09892 = "39F988995CEC0FC8"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1CCE4785AC0D78A3AE = "07F4536A8DC4E582A14260"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
0490 = "7BE8"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1CCDEB9F42F9 = "108CEA56E409"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
0D694304EBCC3FF9A8D9F56864E9D9C763 = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
194651D07B8ED8674663DE363E = "196E5B34A061AD07DE5CE4F3988A35"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1CCDEB9866BA12E80BB84CB01433F2DD = "07DE"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
086A72D926E71CCC10CA0F2A55A6A2 = "108CEA"

HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\
Data
1CCDEB986A5F73F839B75A779008B214 = "108CEA"

SOLUTION

Minimum scan engine: 9.200

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_LOCAL_MACHINE\Software\pointfreeEx
- Data

Step 3

Eliminar este valor del Registro

[ learnMore ]

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1F3EA144C4CA46 = "00CA"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 19465746DF347A = "196E5B34A0412140440F67"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 19464D0227B3 = "39E2ECD346D5FD0EBF83F3"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1CCE4785AC0D6C9297753585 = "196E5B34A0412140440F67D309C81A8ED9"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 0C0F8513A8A51A = "39F99780038609"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1CCE4785AC0D79261A25947882 = "39F98F2585F475"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 0D694B71DA2089C604CCF8B31C29DC66 = "2DE045591988618C"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1CCE4785AC0D6FF7C2E82D03EC = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 00ED0FABC1B922F8D1AD903E = "39F99333070E3DB3426F"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 00ED0FABC1B922F8D1AD903E4A2D0EAE6D5D = "39F99333070E3DB3426F"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 0A20E4A92F12697F8E009CBFB7F0 = "207FCE3EF81A9C"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 0A20E4A92F12697F8E009CBFB7F07A0ED0683AD9 = "207FCE3EF81A9C"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 0A2EC4F38F08D94BE348270F94 = "2AAB46EA0B7D67"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 0A2EC4F38F08D94BE348270F94055864A4A73D = "2AAB46EA0B7D67"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 0172590419AD3E27EBA45705FF9E = "1975091BB7169F67736EA0FA"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 00CF436C77B5624FEC2E = "39E36A0E3047DCE7"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 02CEDB1FAE44A3D2A72DAF5D16 = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1CCC962D48119859789C58DECC = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 02CEDB1FAE44A3D2A72DAF5D1610 = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1CCC962D48119859789C58DECC3B = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 0F47C0B54046FA6E0B = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1B4CCAC678FA028185520FE7 = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1B4CC94BC5BDD7 = "1ADAA034E49F662698BBB2788A4F41A05ADC8451"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 00ED1A50B75D009312D3D3E24935 = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1CD0027BD929C7EC21D0650CECE26BD2 = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 0C0F853EC3E6853BB67B86BE9D47 = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 0A27FC06E9838F33 = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 0490A2EBBC5A700C4C481BE861B5C6 = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 00C68C0AC891FEB4CB8CC5834641A9 = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 19737765703DA423730329BE4898A158661A = "1B7997"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 19737765703DA436732A91A098F827 = "0F6552BEE684853225"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 02CEDB044B4769E63A82 = "0497A757A18E0A5DF7"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1AFEAD1090DFF6 = "3C3F3AB0E8CBFFFDC8442750"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1AFEAD108C32898BB2 = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1B4CCD033C93083A4184FEB1C09892 = "39F988995CEC0FC8"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1CCE4785AC0D78A3AE = "07F4536A8DC4E582A14260"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 0490 = "7BE8"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1CCDEB9F42F9 = "108CEA56E409"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 0D694304EBCC3FF9A8D9F56864E9D9C763 = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 194651D07B8ED8674663DE363E = "196E5B34A061AD07DE5CE4F3988A35"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1CCDEB9866BA12E80BB84CB01433F2DD = "07DE"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 086A72D926E71CCC10CA0F2A55A6A2 = "108CEA"

In HKEY_LOCAL_MACHINE\SOFTWARE\pointfreeEx\Data
- 1CCDEB986A5F73F839B75A779008B214 = "108CEA"

Para eliminar el valor del Registro que este malware/grayware/spyware ha creado:

Abra el Editor del Registro. Haga clic en Inicio>Ejecutar, escriba REGEDIT y, a continuación, pulse Intro.
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE>SOFTWARE>pointfreeEx>Data
En el panel derecho, busque y elimine la entrada:
1F3EA144C4CA46 = "00CA"
En el panel derecho, busque y elimine la entrada:
19465746DF347A = "196E5B34A0412140440F67"
En el panel derecho, busque y elimine la entrada:
19464D0227B3 = "39E2ECD346D5FD0EBF83F3"
En el panel derecho, busque y elimine la entrada:
1CCE4785AC0D6C9297753585 = "196E5B34A0412140440F67D309C81A8ED9"
En el panel derecho, busque y elimine la entrada:
0C0F8513A8A51A = "39F99780038609"
En el panel derecho, busque y elimine la entrada:
1CCE4785AC0D79261A25947882 = "39F98F2585F475"
En el panel derecho, busque y elimine la entrada:
0D694B71DA2089C604CCF8B31C29DC66 = "2DE045591988618C"
En el panel derecho, busque y elimine la entrada:
1CCE4785AC0D6FF7C2E82D03EC = "{random characters}"
En el panel derecho, busque y elimine la entrada:
00ED0FABC1B922F8D1AD903E = "39F99333070E3DB3426F"
En el panel derecho, busque y elimine la entrada:
00ED0FABC1B922F8D1AD903E4A2D0EAE6D5D = "39F99333070E3DB3426F"
En el panel derecho, busque y elimine la entrada:
0A20E4A92F12697F8E009CBFB7F0 = "207FCE3EF81A9C"
En el panel derecho, busque y elimine la entrada:
0A20E4A92F12697F8E009CBFB7F07A0ED0683AD9 = "207FCE3EF81A9C"
En el panel derecho, busque y elimine la entrada:
0A2EC4F38F08D94BE348270F94 = "2AAB46EA0B7D67"
En el panel derecho, busque y elimine la entrada:
0A2EC4F38F08D94BE348270F94055864A4A73D = "2AAB46EA0B7D67"
En el panel derecho, busque y elimine la entrada:
0172590419AD3E27EBA45705FF9E = "1975091BB7169F67736EA0FA"
En el panel derecho, busque y elimine la entrada:
00CF436C77B5624FEC2E = "39E36A0E3047DCE7"
En el panel derecho, busque y elimine la entrada:
02CEDB1FAE44A3D2A72DAF5D16 = "{random characters}"
En el panel derecho, busque y elimine la entrada:
1CCC962D48119859789C58DECC = "{random characters}"
En el panel derecho, busque y elimine la entrada:
02CEDB1FAE44A3D2A72DAF5D1610 = "{random characters}"
En el panel derecho, busque y elimine la entrada:
1CCC962D48119859789C58DECC3B = "{random characters}"
En el panel derecho, busque y elimine la entrada:
0F47C0B54046FA6E0B = "{random characters}"
En el panel derecho, busque y elimine la entrada:
1B4CCAC678FA028185520FE7 = "{random characters}"
En el panel derecho, busque y elimine la entrada:
1B4CC94BC5BDD7 = "1ADAA034E49F662698BBB2788A4F41A05ADC8451"
En el panel derecho, busque y elimine la entrada:
00ED1A50B75D009312D3D3E24935 = "{random characters}"
En el panel derecho, busque y elimine la entrada:
1CD0027BD929C7EC21D0650CECE26BD2 = "{random characters}"
En el panel derecho, busque y elimine la entrada:
0C0F853EC3E6853BB67B86BE9D47 = "{random characters}"
En el panel derecho, busque y elimine la entrada:
0A27FC06E9838F33 = "{random characters}"
En el panel derecho, busque y elimine la entrada:
0490A2EBBC5A700C4C481BE861B5C6 = "{random characters}"
En el panel derecho, busque y elimine la entrada:
00C68C0AC891FEB4CB8CC5834641A9 = "{random characters}"
En el panel derecho, busque y elimine la entrada:
19737765703DA423730329BE4898A158661A = "1B7997"
En el panel derecho, busque y elimine la entrada:
19737765703DA436732A91A098F827 = "0F6552BEE684853225"
En el panel derecho, busque y elimine la entrada:
02CEDB044B4769E63A82 = "0497A757A18E0A5DF7"
En el panel derecho, busque y elimine la entrada:
1AFEAD1090DFF6 = "3C3F3AB0E8CBFFFDC8442750"
En el panel derecho, busque y elimine la entrada:
1AFEAD108C32898BB2 = "{random characters}"
En el panel derecho, busque y elimine la entrada:
1B4CCD033C93083A4184FEB1C09892 = "39F988995CEC0FC8"
En el panel derecho, busque y elimine la entrada:
1CCE4785AC0D78A3AE = "07F4536A8DC4E582A14260"
En el panel derecho, busque y elimine la entrada:
0490 = "7BE8"
En el panel derecho, busque y elimine la entrada:
1CCDEB9F42F9 = "108CEA56E409"
En el panel derecho, busque y elimine la entrada:
0D694304EBCC3FF9A8D9F56864E9D9C763 = "{random characters}"
En el panel derecho, busque y elimine la entrada:
194651D07B8ED8674663DE363E = "196E5B34A061AD07DE5CE4F3988A35"
En el panel derecho, busque y elimine la entrada:
1CCDEB9866BA12E80BB84CB01433F2DD = "07DE"
En el panel derecho, busque y elimine la entrada:
086A72D926E71CCC10CA0F2A55A6A2 = "108CEA"
En el panel derecho, busque y elimine la entrada:
1CCDEB986A5F73F839B75A779008B214 = "108CEA"
Cierre el Editor del Registro.

Step 4

Buscar y eliminar esta carpeta

[ learnMore ]

Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todas las carpetas ocultas.

%System Root%\Temp

Step 5

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como TROJ_BANKER.SWR En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Did this description help? Tell us how we did.

TROJ_BANKER.SWR

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Ресурсы

Поддержка

О компании Trend

TROJ_BANKER.SWR

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Ресурсы

Поддержка

О компании Trend

Северная и Южная Америка

Ближний Восток и Африка

Европа

Азиатско-Тихоокеанский регион