TROJ_NEUREVT.TAG

Este malware se elimina tras la ejecución.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %ProgramData%\MS Word 2015\{random filename}.exe (for Windows Vista and above)
• %Program Files%\Common Files\MS Word 2015\{random filename}.exe (for Windows XP and below)

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

Infiltra los archivos siguientes:

• %Application Data%\NLEastPreview_0k987akk_d31fpjh9.jpg
• %Application Data%\08 - Bloc Party - Kreuzberg.mp3
• %Application Data%\78auidawui1awdunawdk
• %User Temp%\nsw1C.tmp\Evesham.dll
• %User Temp%\mdcVBuh5anGQpbs-wtB9AD0JTFmzKdb-kalumD9c0H1WwYB-rMeiXDVgucN8HOw.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Crea las carpetas siguientes:

• %ProgramData%\MS Word 2015 (for Windows Vista and above)
• %Program Files%\Common Files\MS Word 2015 (for Windows XP and below)

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
MS Word 2015 = "%Program Files%\Common Files\MS Word 2015\{random filename}.exe" (for Windows XP and below)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
MS Word 2015 = "%Program Files%\Common Files\MS Word 2015\{random filename}.exe" (for Windows XP and below)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
MS Word 2015 = "%ProgramData%\MS Word 2015\{random filename}.exe" (for Windows Vista and above)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
MS Word 2015 = "%ProgramData%\MS Word 2015\{random filename}.exe" (for Windows Vista and above)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\08 - Bloc Party - Kreuzberg.mp3

HKEY_CURRENT_USER\Software\AppDataLow\
Software\{UID}

HKEY_CURRENT_USER\Software\AppDataLow\
Software\MyMailClient

HKEY_CURRENT_USER\Software\AppDataLow\
Google Updater (for Windows Vista and above)

HKEY_CURRENT_USER\Software\Logitech, Inc. (for Windows XP and below)

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random filename}.exe
DisableExceptionChainValidation = ""

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
2500 = "3"

HKEY_CURRENT_USER\Software\AppDataLow\
Google Updater
LastUpdate = "{hex values}" (for Windows Vista and above)

HKEY_CURRENT_USER\Software\Logitech, Inc.
WindowLayout = "{hex values}" (for Windows XP and below)

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = "1"

Otros detalles

Este malware se elimina tras la ejecución.