Analizzato da: Erika Bianca Mendoza   
 Piattaforma:

Windows 98, ME, NT, 2000, XP, Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    File infector

  • Distruttivo?:
    No

  • Crittografato?:
     

  • In the wild::

  Panoramica e descrizione

Este malware infecta anexando su código a los archivos host de destino.

Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  Dettagli tecnici

Dimensione file: Varia
Tipo di file: EXE
Residente in memoria:

Instalación

Infiltra los archivos siguientes:

  • %system%\drivers\{random}.sys - detected by Trend Micro as RTKT_AGENT.SMB

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\
Image File Execution Options\
{Application name}
Debugger = ntsd -d


where {Application name} refers to the following values:

  • 360SoftMgrSvc.exe
  • 360hotfix.exe
  • 360rp.exe
  • 360rpt.exe
  • 360safe.exe
  • 360safebox.exe
  • 360sd.exe
  • 360se.exe
  • 360speedld.exe
  • 360tray.exe
  • CCenter.exe
  • KVMonXP.kxp
  • KVSrvXP.exe
  • MPMon.exe
  • MPSVC.exe
  • MPSVC1.exe
  • MPSVC2.exe
  • McNASvc.exe
  • McProxy.exe
  • McSACore.exe
  • Mcagent.exe
  • Mcods.exe
  • Mcshield.exe
  • MpfSrv.exe
  • RavMonD.exe
  • RavTask.exe
  • RsAgent.exe
  • RsTray.exe
  • ScanFrm.exe
  • SfCtlCom.exe
  • TMBMSRV.exe
  • TmProxy.exe
  • UfSeAgnt.exe
  • ast.exe
  • avcenter.e
  • avgnt.exe
  • avguard.exe
  • avmailc.exe
  • avp.exe
  • avwebgrd.exe
  • bdagent.exe
  • ccSvcHst.exe
  • egui.exe
  • ekrn.exe
  • kavstart.exe
  • kissvc.exe
  • kmailmon.exe
  • kpfw32.exe
  • kpfwsvc.exe
  • krnl360svc.exe
  • kswebshield.exe
  • kwatch.exe
  • livesrv.exe
  • mcmscsvc.exe
  • mcsysmon.exe
  • mcvsshld.exe
  • msksrver.exe
  • qutmserv.exe
  • rsnetsvr.exe
  • safeboxTray.exe
  • sched.exe
  • seccenter.exe
  • vsserv.exe
  • zhudongfangyu.exe
  • ÐÞ¸´¹¤¾ß.exe
  • ÐÞ¸´¹¤¾ß.exe

Infección de archivo

Infecta los siguientes tipos de archivo:

  • EXE

Este malware infecta anexando su código a los archivos host de destino.

Propagación

Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Otros detalles

Este malware sobrescribe los archivos siguientes con copias mal construidas para que las aplicaciones móviles asociadas a estos archivos no se ejecuten correctamente:

  • %system%\appmgmts.dll

  Soluzioni

Motore di scansione minimo: 8.900

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Elimine los archivos de grayware/spyware que se han introducido/descargado mediante PE_PIKOR.A

    • RTKT_AGENT.SMB

Step 3

Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como PE_PIKOR.A

Step 4

Reiniciar en modo seguro

[ learnMore ]

Step 5

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • {Application name}


where {Application name} refers to the following values:

 
 
  • 360SoftMgrSvc.exe
  • 360hotfix.exe
  • 360rp.exe
  • 360rpt.exe
  • 360safe.exe
  • 360safebox.exe
  • 360sd.exe
  • 360se.exe
  • 360speedld.exe
  • 360tray.exe
  • CCenter.exe
  • KVMonXP.kxp
  • KVSrvXP.exe
  • MPMon.exe
  • MPSVC.exe
  • MPSVC1.exe
  • MPSVC2.exe
  • McNASvc.exe
  • McProxy.exe
  • McSACore.exe
  • Mcagent.exe
  • Mcods.exe
  • Mcshield.exe
  • MpfSrv.exe
  • RavMonD.exe
  • RavTask.exe
  • RsAgent.exe
  • RsTray.exe
  • ScanFrm.exe
  • SfCtlCom.exe
  • TMBMSRV.exe
  • TmProxy.exe
  • UfSeAgnt.exe
  • ast.exe
  • avcenter.e
  • avgnt.exe
  • avguard.exe
  • avmailc.exe
  • avp.exe
  • avwebgrd.exe
  • bdagent.exe
  • ccSvcHst.exe
  • egui.exe
  • ekrn.exe
  • kavstart.exe
  • kissvc.exe
  • kmailmon.exe
  • kpfw32.exe
  • kpfwsvc.exe
  • krnl360svc.exe
  • kswebshield.exe
  • kwatch.exe
  • livesrv.exe
  • mcmscsvc.exe
  • mcsysmon.exe
  • mcvsshld.exe
  • msksrver.exe
  • qutmserv.exe
  • rsnetsvr.exe
  • safeboxTray.exe
  • sched.exe
  • seccenter.exe
  • vsserv.exe
  • zhudongfangyu.exe
  • ÐÞ¸´¹¤¾ß.exe
  • ÐÞ¸´¹¤¾ß.exe
DATA_TEXTBOX
  • Cierre el Editor del Registro.

    • Step 6

    Explorar el equipo con su producto de Trend Micro para limpiar los archivos detectados como PE_PIKOR.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


    Sondaggio