Trojan.Win32.DIPLE.H

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Se ejecuta y, a continuación, se elimina.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

• %User Temp%\aut{Random}.tmp → Deleted afterwards
• %User Temp%\hvavzgf → Deleted afterwards
• %User Temp%\~zFavUrl.Ex_ → Deleted afterwards
• %User Temp%\fbinst.dll → Deleted afterwards
• %Favorites%\淘宝购物\icon.ico
• %Favorites%\淘宝购物\Desktop.ini
• %Favorites%\中国最大特产网－特产优联.url
• %Favorites%\天地联盟－您身边的提款机.url
• %Favorites%\淘宝购物\淘宝品质铺精选.URL
• %Favorites%\淘宝购物\淘宝网 - 商城频道.URL
• %Favorites%\淘宝购物\淘宝网 - 女人频道.URL
• %Favorites%\淘宝购物\淘宝网 - 数码商城.URL
• %Favorites%\淘宝购物\淘宝网 - 淘！.URL
• %Favorites%\淘宝购物\淘宝网 - 电器城.URL
• %Favorites%\淘宝购物\淘宝网 - 男人频道.URL
• %Favorites%\电视网 最新最全直播节目.url

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Agrega los procesos siguientes:

• %User Temp%\~zFavUrl.Ex_ -y -o"%Favorites%"
• %System%\cmd.exe /c %User Temp%\fbinst.dll "%Windows%\8f2cf0\SUPPORT.IM_" output IMG/* %~nx%User Temp%\fbinst.dll  "%Windows%\8f2cf0\SUPPORT.IM_" output IMG/* %~nx
• %System%\cmd.exe /c ping 127.1 -n 50® add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "www.{BLOCKED}.com.gr" /f® delete "HKCU\Software\Policies\Microsoft\Internet Explorer\Main" /v "Start Page" /f® delete "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /f
• %System%\cmd.exe /c ping 127.1 -n 3&del /q "{Malware Path}\{Malware Filename}.exe"

Crea las carpetas siguientes:

• %AppDataLocal%\8f2cf0
• %Favorites%\淘宝购物

(Nota: %Favorites% es la carpeta Favoritos del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Favorites, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Favoritos, en Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Favoritos y en Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\Favorites).

Se ejecuta y, a continuación, se elimina.

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = www.{BLOCKED}.com.gr