BKDR_BTMINE.DDOS

Para obtener una visión integral del comportamiento de este Backdoor, consulte el diagrama de amenazas que se muestra a continuación.

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Detalles de entrada

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Windows%\update.7.1\svchostdriver.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Crea las carpetas siguientes:

• %Windows%\update.7.1

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ddservice
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ddservice
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ddservice
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ddservice
ImagePath = "%Windows%\update.7.1\svchostdriver.exe srv"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ddservice
DisplayName = "ddservice"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ddservice
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ddservice\Security
Security = "{hex values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ddservice\Enum
0 = "Root\LEGACY_DDSERVICE\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ddservice\Enum
Count = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ddservice\Enum
NextInstance = "1"

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
ddsoft = "%Windows%\update.7.1\svchostdriver.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\ddsoft

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\ddsoft
close = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\ddsoft
ver = "2.63"

Finalización del proceso

Finaliza procesos o servicios que contienen una de las cadenas siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• agava
• agava_start
• agnitum
• alwil
• avast
• avast_start
• avira
• avira_start
• comodo
• comodo_start
• doctor web
• drweb
• drweb_start
• eset
• ESET NOD32 Antivirus
• ESET Smart Security
• ESET SysInspector
• ESET SysRescue
• kaspersky
• Kaspersky Internet Security 2009
• Kaspersky Internet Security 2010
• Kaspersky Internet Security 2011
• Kaspersky Internet Security 7.0
• KAV_2008
• KAV_2009
• KAV_2010
• KAV_2011
• KAV_START
• KAV_TXT
• KAV_UNINSTALL
• KAV_URL
• mcafee
• mcafee_start
• NOD_AV_4_2
• NOD_AV_START
• NOD_SS_4_2
• NOD_SS_START
• NOD_SYSINSP
• NOD_SYSRESC
• NOD_TXT
• NOD_UNINSTALL
• norton
• norton_start
• outpost
• Outpost Firewall Pro 7.0
• outpost_start1
• outpost_start2
• virus