Analizzato da: Rhena Inocencio   
 

Mal/Packer (Sophos) ,W32/Heuristic-210!Eldorado (damaged, not disinfectable) (Fprot) ,Trojan.SuspectCRC (Ikarus) ,HEUR:Trojan.Win32.Generic (Kaspersky) ,Backdoor:Win32/Zegost.AY (Microsoft) ,Backdoor.Trojan (Symantec) ,Trojan.Win32.Generic!BT (Sunbelt)

 Piattaforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
 Informazioni esposizione: :
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Backdoor

  • Distruttivo?:
    No

  • Crittografato?:

  • In the wild::

  Panoramica e descrizione

Canale infezione: Descargado de Internet, Eliminado por otro tipo de malware

Se conecta a un sitio Web para enviar y recibir información.

  Dettagli tecnici

Dimensione file: 332,873 bytes
Tipo di file: EXE
Residente in memoria:
Data di ricezione campioni iniziali: 20 maggio 2014
Carica distruttiva: Compromises system security, Collects system information, Terminates processes

Instalación

Agrega los siguientes archivos o componentes de archivos maliciosos:

  • %System Root%\{random foldername}\{random filename}.dll - detected as BKDR_ZEGOST.TPAN
  • %System Root%\{random foldername}\MUpdate.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
CTFM0N = "%System Root%\{random foldername}\MUpdate.exe "%System Root%\{random foldername}\{random filename}.dll,ALSTS_ExecuteAction""

Rutina de puerta trasera

Se conecta a los sitios Web siguientes para enviar y recibir información:

  • {BLOCKED}.{BLOCKED}.119.178
  • {BLOCKED}.{BLOCKED}ION.INFO
  • {BLOCKED}0.{BLOCKED}s.info
  • v.{BLOCKED}n.com

A fecha de redacción de este documento no es posible acceder a los servidores mencionados.

Modificar el archivo HOSTS

Este malware modifica los archivos HOSTS del sistema para redireccionar a los usuarios una vez que se accede al/a los sitio(s) Web siguiente(s):

  • 126.117.125.213 nAVER.coM
  • 126.117.125.213 kIsA.hoNabenk.coM
  • 126.117.125.213 kIsA.kcB.co.kR
  • 126.117.125.213 kIsA.kfoc.co.kR
  • 126.117.125.213 www.nAVER.co.KR
  • 126.117.125.213 nAVER.cO.kR
  • 126.117.125.213 www.nONGhyup.coM
  • 126.117.125.213 BaNKiNg.nONGhyup.coM
  • 126.117.125.213 iBz.nONGhyup.coM
  • 126.117.125.213 www.nAVER.coM
  • 126.117.125.213 nAVER.kR
  • 126.117.125.213 www.nAVER.Kr
  • 126.117.125.213 KisA.kBstor.coM
  • 126.117.125.213 KisA.nONGhuyp.coM
  • 126.117.125.213 KisA.nONGhyup.coM
  • 126.117.125.213 KisA.shiNhoN.coM
  • 126.117.125.213 KisA.WOORibenk.coM
  • 126.117.125.213 KisA.IDK.co.kR
  • 126.117.125.213 KisA.ibek.co.kR
  • 126.117.125.213 KisA.EPostbenk.go.kR
  • 126.117.125.213 KisA.hanAbenk.coM
  • 126.117.125.213 KisA.keB.co.kR
  • 126.117.125.213 KisA.kcB.co.kR
  • 126.117.125.213 KisA.kfoc.co.kR
  • 126.117.125.213 KisA.kfcc.co.kR
  • 126.117.125.213 www.nATe.nEt
  • 126.117.125.213 kIsA.kBstor.coM
  • 126.117.125.213 kIsA.hanabank.com
  • 126.117.125.213 kIsA.Nenghuyp.coM
  • 126.117.125.213 kIsA.shiNhoN.coM
  • 126.117.125.213 kIsA.wooribenk.coM
  • 126.117.125.213 kIsA.idk.co.kR
  • 126.117.125.213 kIsA.epostbenk.go.kR
  • 126.117.125.213 kIsA.hoNabenk.coM
  • 126.117.125.213 kIsA.kcB.co.kR
  • 126.117.125.213 kIsA.kfoc.co.kR
  • 126.117.125.213 KisA.kBstAR.coM
  • 126.117.125.213 www.nATe.Kr
  • 126.117.125.213 nATe.kR
  • 126.117.125.213 phARmiNg.KisA.or.kR
  • 126.117.125.213 www.GmARkeT.cO.kr
  • 126.117.125.213 BizBaNk.shiNhaN.coM
  • 126.117.125.213 oPEN.shiNhaN.coM
  • 126.117.125.213 daUm.NeT
  • 126.117.125.213 gMARkEt.CO.kr
  • 126.117.125.213 www.nATe.cO.kr
  • 126.117.125.213 nATe.Co.Kr
  • 126.117.125.213 myBaNk.iBk.co.kR
  • 126.117.125.213 Kiup.iBk.co.kR
  • 126.117.125.213 oPEN.iBk.co.kR
  • 126.117.125.213 www.daum.NeT
  • 126.117.125.213 WOORiBaNk.coM
  • 126.117.125.213 haNmail.NeT
  • 126.117.125.213 eBaNk.keB.co.kR
  • 126.117.125.213 www.gmARket.co.kr
  • 126.117.125.213 oNliNe.keB.co.kR
  • 126.117.125.213 oPEN.keB.co.kR
  • 126.117.125.213 www.haNmail.Net
  • 126.117.125.213 oPEN.hanABaNk.com
  • 126.117.125.213 www.hanAcBs.coM
  • 126.117.125.213 kfCc.co.kR
  • 126.117.125.213 www.kfcc.co.kR
  • 126.117.125.213 iBs.kfcc.co.kR
  • 126.117.125.213 EPostBaNk.go.kR
  • 126.117.125.213 www.EPostBaNk.go.kR
  • 126.117.125.213 www.nAte.com

Robo de información

Recopila los siguientes datos:

  • OS version
  • System's default language
  • Processor information

Otros detalles

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

  • %System%\drivers\etc\hosts.ics - temporary file that contains contents of data.mdb
  • {malware path}\data.mdb - contains the decrypted received data. This is deleted after contents are copied to the hosts file

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

  Soluzioni

Motore di scansione minimo: 9.700
Primo file di pattern VSAPI: 10.806.04
Data di pubblicazione del primo pattern VSAPI: 20 maggio 2014
Versione pattern VSAPI OPR: 10.807.00
Data di pubblicazione del pattern VSAPI OPR: 21 maggio 2014

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como BKDR_ZEGOST.TPAN

Step 3

Reiniciar en modo seguro

[ learnMore ]

Step 4

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • CTFM0N = "%System Root%\{random foldername}\MUpdate.exe "%System Root%\{random foldername}\{random filename}.dll,ALSTS_ExecuteAction""

Step 5

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.  
  • %System Root%\{random foldername}\{random filename}.dll
  • %System Root%\{random foldername}\MUpdate.exe

Step 6

Eliminar estas cadenas que el malware/grayware/spyware ha añadido al archivo HOSTS

[ learnMore ]
     
    • 126.117.125.213  nAVER.coM
    • 126.117.125.213  kIsA.hoNabenk.coM
    • 126.117.125.213  kIsA.kcB.co.kR
    • 126.117.125.213  kIsA.kfoc.co.kR
    • 126.117.125.213  www.nAVER.co.KR
    • 126.117.125.213  nAVER.cO.kR
    • 126.117.125.213  www.nONGhyup.coM
    • 126.117.125.213  BaNKiNg.nONGhyup.coM
    • 126.117.125.213  iBz.nONGhyup.coM
    • 126.117.125.213  www.nAVER.coM
    • 126.117.125.213  nAVER.kR
    • 126.117.125.213  www.nAVER.Kr
    • 126.117.125.213  KisA.kBstor.coM
    • 126.117.125.213  KisA.nONGhuyp.coM
    • 126.117.125.213  KisA.nONGhyup.coM
    • 126.117.125.213  KisA.shiNhoN.coM
    • 126.117.125.213  KisA.WOORibenk.coM
    • 126.117.125.213  KisA.IDK.co.kR
    • 126.117.125.213  KisA.ibek.co.kR
    • 126.117.125.213  KisA.EPostbenk.go.kR
    • 126.117.125.213  KisA.hanAbenk.coM
    • 126.117.125.213  KisA.keB.co.kR
    • 126.117.125.213  KisA.kcB.co.kR
    • 126.117.125.213  KisA.kfoc.co.kR
    • 126.117.125.213  KisA.kfcc.co.kR
    • 126.117.125.213  www.nATe.nEt
    • 126.117.125.213  kIsA.kBstor.coM
    • 126.117.125.213  kIsA.hanabank.com
    • 126.117.125.213  kIsA.Nenghuyp.coM
    • 126.117.125.213  kIsA.shiNhoN.coM
    • 126.117.125.213  kIsA.wooribenk.coM
    • 126.117.125.213  kIsA.idk.co.kR
    • 126.117.125.213  kIsA.epostbenk.go.kR
    • 126.117.125.213  kIsA.hoNabenk.coM
    • 126.117.125.213  kIsA.kcB.co.kR
    • 126.117.125.213  kIsA.kfoc.co.kR
    • 126.117.125.213  KisA.kBstAR.coM
    • 126.117.125.213  www.nATe.Kr
    • 126.117.125.213  nATe.kR
    • 126.117.125.213  phARmiNg.KisA.or.kR
    • 126.117.125.213  www.GmARkeT.cO.kr
    • 126.117.125.213  BizBaNk.shiNhaN.coM
    • 126.117.125.213  oPEN.shiNhaN.coM
    • 126.117.125.213  daUm.NeT
    • 126.117.125.213  gMARkEt.CO.kr
    • 126.117.125.213  www.nATe.cO.kr
    • 126.117.125.213  nATe.Co.Kr
    • 126.117.125.213  myBaNk.iBk.co.kR
    • 126.117.125.213  Kiup.iBk.co.kR
    • 126.117.125.213  oPEN.iBk.co.kR
    • 126.117.125.213  www.daum.NeT
    • 126.117.125.213  WOORiBaNk.coM
    • 126.117.125.213  haNmail.NeT
    • 126.117.125.213  eBaNk.keB.co.kR
    • 126.117.125.213  www.gmARket.co.kr
    • 126.117.125.213  oNliNe.keB.co.kR
    • 126.117.125.213  oPEN.keB.co.kR
    • 126.117.125.213  www.haNmail.Net
    • 126.117.125.213  oPEN.hanABaNk.com
    • 126.117.125.213  www.hanAcBs.coM
    • 126.117.125.213  kfCc.co.kR
    • 126.117.125.213  www.kfcc.co.kR
    • 126.117.125.213  iBs.kfcc.co.kR
    • 126.117.125.213  EPostBaNk.go.kR
    • 126.117.125.213  www.EPostBaNk.go.kR
    • 126.117.125.213  www.nAte.com

Step 7

Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como BKDR_ZEGOST.TPAN En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Sondaggio