TSPY_DERUSBI

Puede haberlo infiltrado otro malware. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Requiere que su componente principal lleve a cabo correctamente la rutina deseada.

Detalles de entrada

Puede haberlo infiltrado otro malware.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Infiltra los archivos siguientes:

• %System%\msusb{random 3 characters}.dat
• %System%\{random}.dat
• %System%\msusbznx.dat

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Técnica de inicio automático

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv\Parameters
ServiceDll = "%Systemroot%\System32\msusb{random 3 characters}.dat"

(Note: The default value data of the said registry entry is %System%\wuauserv.dll.)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\PnP
Security = "{random values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv\Parameters
Security = "{random values}"

Rutina de infiltración

Este malware infiltra el/los siguiente(s) archivo(s), que utiliza para su rutina de captura de teclado:

• %System%\drivers\{bc87739c-6024-412c-b489-b951c2f17000}.sys - detected by Trend Micro as TSPY_DERUSBI.E

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• %Windows%\Temp\ziptmp$1.tmp21

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Otros detalles

Requiere que su componente principal lleve a cabo correctamente la rutina deseada.