BKDR_ZEGOST.TPAN
Mal/Packer (Sophos) ,W32/Heuristic-210!Eldorado (damaged, not disinfectable) (Fprot) ,Trojan.SuspectCRC (Ikarus) ,HEUR:Trojan.Win32.Generic (Kaspersky) ,Backdoor:Win32/Zegost.AY (Microsoft) ,Backdoor.Trojan (Symantec) ,Trojan.Win32.Generic!BT (Sunbelt)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo di minaccia informatica:
Backdoor
Distruttivo?:
No
Crittografato?:
Sì
In the wild::
Sì
Panoramica e descrizione
Se conecta a un sitio Web para enviar y recibir información.
Dettagli tecnici
Instalación
Agrega los siguientes archivos o componentes de archivos maliciosos:
- %System Root%\{random foldername}\{random filename}.dll - detected as BKDR_ZEGOST.TPAN
- %System Root%\{random foldername}\MUpdate.exe
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
CTFM0N = "%System Root%\{random foldername}\MUpdate.exe "%System Root%\{random foldername}\{random filename}.dll,ALSTS_ExecuteAction""
Rutina de puerta trasera
Se conecta a los sitios Web siguientes para enviar y recibir información:
- {BLOCKED}.{BLOCKED}.119.178
- {BLOCKED}.{BLOCKED}ION.INFO
- {BLOCKED}0.{BLOCKED}s.info
- v.{BLOCKED}n.com
A fecha de redacción de este documento no es posible acceder a los servidores mencionados.
Modificar el archivo HOSTS
Este malware modifica los archivos HOSTS del sistema para redireccionar a los usuarios una vez que se accede al/a los sitio(s) Web siguiente(s):
- 126.117.125.213 nAVER.coM
- 126.117.125.213 kIsA.hoNabenk.coM
- 126.117.125.213 kIsA.kcB.co.kR
- 126.117.125.213 kIsA.kfoc.co.kR
- 126.117.125.213 www.nAVER.co.KR
- 126.117.125.213 nAVER.cO.kR
- 126.117.125.213 www.nONGhyup.coM
- 126.117.125.213 BaNKiNg.nONGhyup.coM
- 126.117.125.213 iBz.nONGhyup.coM
- 126.117.125.213 www.nAVER.coM
- 126.117.125.213 nAVER.kR
- 126.117.125.213 www.nAVER.Kr
- 126.117.125.213 KisA.kBstor.coM
- 126.117.125.213 KisA.nONGhuyp.coM
- 126.117.125.213 KisA.nONGhyup.coM
- 126.117.125.213 KisA.shiNhoN.coM
- 126.117.125.213 KisA.WOORibenk.coM
- 126.117.125.213 KisA.IDK.co.kR
- 126.117.125.213 KisA.ibek.co.kR
- 126.117.125.213 KisA.EPostbenk.go.kR
- 126.117.125.213 KisA.hanAbenk.coM
- 126.117.125.213 KisA.keB.co.kR
- 126.117.125.213 KisA.kcB.co.kR
- 126.117.125.213 KisA.kfoc.co.kR
- 126.117.125.213 KisA.kfcc.co.kR
- 126.117.125.213 www.nATe.nEt
- 126.117.125.213 kIsA.kBstor.coM
- 126.117.125.213 kIsA.hanabank.com
- 126.117.125.213 kIsA.Nenghuyp.coM
- 126.117.125.213 kIsA.shiNhoN.coM
- 126.117.125.213 kIsA.wooribenk.coM
- 126.117.125.213 kIsA.idk.co.kR
- 126.117.125.213 kIsA.epostbenk.go.kR
- 126.117.125.213 kIsA.hoNabenk.coM
- 126.117.125.213 kIsA.kcB.co.kR
- 126.117.125.213 kIsA.kfoc.co.kR
- 126.117.125.213 KisA.kBstAR.coM
- 126.117.125.213 www.nATe.Kr
- 126.117.125.213 nATe.kR
- 126.117.125.213 phARmiNg.KisA.or.kR
- 126.117.125.213 www.GmARkeT.cO.kr
- 126.117.125.213 BizBaNk.shiNhaN.coM
- 126.117.125.213 oPEN.shiNhaN.coM
- 126.117.125.213 daUm.NeT
- 126.117.125.213 gMARkEt.CO.kr
- 126.117.125.213 www.nATe.cO.kr
- 126.117.125.213 nATe.Co.Kr
- 126.117.125.213 myBaNk.iBk.co.kR
- 126.117.125.213 Kiup.iBk.co.kR
- 126.117.125.213 oPEN.iBk.co.kR
- 126.117.125.213 www.daum.NeT
- 126.117.125.213 WOORiBaNk.coM
- 126.117.125.213 haNmail.NeT
- 126.117.125.213 eBaNk.keB.co.kR
- 126.117.125.213 www.gmARket.co.kr
- 126.117.125.213 oNliNe.keB.co.kR
- 126.117.125.213 oPEN.keB.co.kR
- 126.117.125.213 www.haNmail.Net
- 126.117.125.213 oPEN.hanABaNk.com
- 126.117.125.213 www.hanAcBs.coM
- 126.117.125.213 kfCc.co.kR
- 126.117.125.213 www.kfcc.co.kR
- 126.117.125.213 iBs.kfcc.co.kR
- 126.117.125.213 EPostBaNk.go.kR
- 126.117.125.213 www.EPostBaNk.go.kR
- 126.117.125.213 www.nAte.com
Robo de información
Recopila los siguientes datos:
- OS version
- System's default language
- Processor information
Otros detalles
Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):
- %System%\drivers\etc\hosts.ics - temporary file that contains contents of data.mdb
- {malware path}\data.mdb - contains the decrypted received data. This is deleted after contents are copied to the hosts file
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)
Soluzioni
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como BKDR_ZEGOST.TPAN
Step 3
Reiniciar en modo seguro
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- CTFM0N = "%System Root%\{random foldername}\MUpdate.exe "%System Root%\{random foldername}\{random filename}.dll,ALSTS_ExecuteAction""
- CTFM0N = "%System Root%\{random foldername}\MUpdate.exe "%System Root%\{random foldername}\{random filename}.dll,ALSTS_ExecuteAction""
Step 5
Buscar y eliminar estos archivos
- %System Root%\{random foldername}\{random filename}.dll
- %System Root%\{random foldername}\MUpdate.exe
Step 6
Eliminar estas cadenas que el malware/grayware/spyware ha añadido al archivo HOSTS
- 126.117.125.213 nAVER.coM
- 126.117.125.213 kIsA.hoNabenk.coM
- 126.117.125.213 kIsA.kcB.co.kR
- 126.117.125.213 kIsA.kfoc.co.kR
- 126.117.125.213 www.nAVER.co.KR
- 126.117.125.213 nAVER.cO.kR
- 126.117.125.213 www.nONGhyup.coM
- 126.117.125.213 BaNKiNg.nONGhyup.coM
- 126.117.125.213 iBz.nONGhyup.coM
- 126.117.125.213 www.nAVER.coM
- 126.117.125.213 nAVER.kR
- 126.117.125.213 www.nAVER.Kr
- 126.117.125.213 KisA.kBstor.coM
- 126.117.125.213 KisA.nONGhuyp.coM
- 126.117.125.213 KisA.nONGhyup.coM
- 126.117.125.213 KisA.shiNhoN.coM
- 126.117.125.213 KisA.WOORibenk.coM
- 126.117.125.213 KisA.IDK.co.kR
- 126.117.125.213 KisA.ibek.co.kR
- 126.117.125.213 KisA.EPostbenk.go.kR
- 126.117.125.213 KisA.hanAbenk.coM
- 126.117.125.213 KisA.keB.co.kR
- 126.117.125.213 KisA.kcB.co.kR
- 126.117.125.213 KisA.kfoc.co.kR
- 126.117.125.213 KisA.kfcc.co.kR
- 126.117.125.213 www.nATe.nEt
- 126.117.125.213 kIsA.kBstor.coM
- 126.117.125.213 kIsA.hanabank.com
- 126.117.125.213 kIsA.Nenghuyp.coM
- 126.117.125.213 kIsA.shiNhoN.coM
- 126.117.125.213 kIsA.wooribenk.coM
- 126.117.125.213 kIsA.idk.co.kR
- 126.117.125.213 kIsA.epostbenk.go.kR
- 126.117.125.213 kIsA.hoNabenk.coM
- 126.117.125.213 kIsA.kcB.co.kR
- 126.117.125.213 kIsA.kfoc.co.kR
- 126.117.125.213 KisA.kBstAR.coM
- 126.117.125.213 www.nATe.Kr
- 126.117.125.213 nATe.kR
- 126.117.125.213 phARmiNg.KisA.or.kR
- 126.117.125.213 www.GmARkeT.cO.kr
- 126.117.125.213 BizBaNk.shiNhaN.coM
- 126.117.125.213 oPEN.shiNhaN.coM
- 126.117.125.213 daUm.NeT
- 126.117.125.213 gMARkEt.CO.kr
- 126.117.125.213 www.nATe.cO.kr
- 126.117.125.213 nATe.Co.Kr
- 126.117.125.213 myBaNk.iBk.co.kR
- 126.117.125.213 Kiup.iBk.co.kR
- 126.117.125.213 oPEN.iBk.co.kR
- 126.117.125.213 www.daum.NeT
- 126.117.125.213 WOORiBaNk.coM
- 126.117.125.213 haNmail.NeT
- 126.117.125.213 eBaNk.keB.co.kR
- 126.117.125.213 www.gmARket.co.kr
- 126.117.125.213 oNliNe.keB.co.kR
- 126.117.125.213 oPEN.keB.co.kR
- 126.117.125.213 www.haNmail.Net
- 126.117.125.213 oPEN.hanABaNk.com
- 126.117.125.213 www.hanAcBs.coM
- 126.117.125.213 kfCc.co.kR
- 126.117.125.213 www.kfcc.co.kR
- 126.117.125.213 iBs.kfcc.co.kR
- 126.117.125.213 EPostBaNk.go.kR
- 126.117.125.213 www.EPostBaNk.go.kR
- 126.117.125.213 www.nAte.com
Step 7
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como BKDR_ZEGOST.TPAN En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Sondaggio