PLATFORM:

Windows 98, ME, NT, 2000, XP, Server 2003

 OVER ALL RISK RATING:
 REPORTED INFECTION:
 Beeinträchtigung der Systemleistung ::
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Este malware puede haberlo descargado otro malware desde sitios remotos.

Roba información confidencial como nombres de usuario y contraseñas, particularmente para juegos concretos. La información sustraída la pueden usar los ciberdelincuentes con ánimo de lucro, quienes pueden acceder a la información.

  TECHNICAL DETAILS

File size: меняется
Memory resident: Yes

Detalles de entrada

Este malware puede haberse descargado desde el/los sitio(s) remoto(s) siguiente(s):

  • http://{BLOCKED}nts.us/ma.exe

Este malware puede descargarlo desde sitio(s) remoto(s) el malware siguiente:

  • TROJ_DLOAD.VAC

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\xiaosos.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKCU\SOFTWARE\MICROSOFT\
Windows\CurrentVersion\Run
loopsos = "%System%\xiaosos.exe"

Rutina de infiltración

Infiltra los archivos siguientes:

  • %System%\xiaodll0.dll - detected as TSPY_GAMETHI.QJB

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Robo de información

Roba información confidencial como nombres de usuario y contraseñas, particularmente para juegos concretos.

  SOLUTION

Minimum scan engine: 8.900

Step 1

Reiniciar en modo seguro

[ learnMore ]

Step 2

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

 
  • In HKCU\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Run
    • loopsos=%System%\xiaosos.exe

Step 3

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
  • %System%\xiaosos.exe 
  • %System%\xiaodll0.dll 
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecciónelo y, a continuación, pulse MAYÚS+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
      • %System%\xiaosos.exe 
      • %System%\xiaodll0.dll