TROJ_BAYROB.KSV
TrojanSpy:Win32/Nivdort!rfn (Microsoft), W32/Bayrob.X!tr (Fortinet), a variant of Win32/Bayrob.Y (ESET-NOD32)
Windows
Tipo di minaccia informatica:
Trojan
Distruttivo?:
No
Crittografato?:
In the wild::
Sì
Panoramica e descrizione
Crea carpetas donde infiltra sus archivos.
Dettagli tecnici
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %System%\dttakby.exe
- %System%\ofctseaz.exe
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Crea carpetas donde infiltra sus archivos.
Crea las carpetas siguientes:
- %System%\ajmqgsznfqo
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Enumerator Port Identity Security System = "%System%\dttakby.exe"
Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Awareness Desktop Security WMI Transaction
ImagePath = "%System%\dttakby.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Awareness Desktop Security WMI Transaction
DisplayName = "Awareness Desktop Security WMI Transaction"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Awareness Desktop Security WMI Transaction
Start = "2"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_AWARENESS_DESKTOP_SECURITY_WMI_TRANSACTION
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"
Modificar el archivo HOSTS
Sobrescribe los archivos HOSTS de las siguientes ubicaciones:
- %System%\unidades\etc\host (En Windows 2000, XP y Server 2003)