TSPY_BANKER.WAV

Este malware puede haberlo descargado otro malware desde sitios remotos.

Este malware envía la información recopilada a una dirección de correo electrónico predeterminada utilizando su propio motor de protocolo simple de transferencia de correo (SMTP).

Detalles de entrada

Este malware puede descargarlo desde sitio(s) remoto(s) el malware siguiente:

• TROJ_BANLOAD.KMZ

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

• %SystemRoot%\DVD MakerShow\Sony\Enterprise\Modal\OUT\connect.cpl - also detected as TSPY_BANKER.WAV
• %SystemRoot%\DVD MakerShow\Sony\Enterprise\Modal\OUT\connect.my - encrypted dll

Crea las carpetas siguientes:

• %SystemRoot%\DVD MakerShow\Sony\Enterprise\Modal\OUT
• %SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\Bloqs
• %SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd

Técnica de inicio automático

Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
hkcmds = "%SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd\hkcmds.exe"

Otras modificaciones del sistema

Elimina las carpetas siguientes:

• %SystemRoot%Arquivos de programas (x64)\AVAST Software
• %SystemRoot%Arquivos de programas (x64)\AVG
• %SystemRoot%Arquivos de programas (x64)\AVG Secure Search
• %SystemRoot%Arquivos de programas (x86)\AVAST Software
• %SystemRoot%Arquivos de programas (x86)\AVG
• %SystemRoot%Arquivos de programas (x86)\AVG Secure Search
• %SystemRoot%Arquivos de programas\AVAST Software
• %SystemRoot%Arquivos de programas\AVG
• %SystemRoot%Arquivos de programas\AVG Secure Search
• %SystemRoot%Arquivos de programas\Ad-Aware Antivirus
• %SystemRoot%Arquivos de programas\Ad-Aware Antivirus
• %SystemRoot%Arquivos de programas\Ask.com
• %SystemRoot%Arquivos de programas\Avira
• %SystemRoot%Arquivos de programas\ClamWin
• %SystemRoot%Arquivos de programas\ESET
• %SystemRoot%Arquivos de programas\Google\Google Toolbar
• %SystemRoot%Arquivos de programas\Kaspersky Lab
• %SystemRoot%Arquivos de programas\McAfee
• %SystemRoot%Arquivos de programas\Microsoft Security Client
• %SystemRoot%Arquivos de programas\Norton AntiVirus
• %SystemRoot%Arquivos de programas\NortonInstaller
• %SystemRoot%Arquivos de programas\Panda Security
• %SystemRoot%Arquivos de programas\Trend Micro
• %SystemRoot%Arquivos de programas\adawaretb
• %SystemRoot%Documents and Settings\All Users\.clamwin
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\AVAST Software
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\AVG2013
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Ad-Aware Antivirus
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Ad-Aware Browsing Protection
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Avira
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\ESET
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Kaspersky Lab
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\MFAData
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\McAfee
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Norton
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\NortonInstaller
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Panda Security
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Trend Micro
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Windows Genuine Advantage
• %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\adawaretb
• %SystemRoot%Program Files\Ad-Aware Antivirus
• %SystemRoot%Program Files\Ask.com
• %SystemRoot%Program Files\Avira
• %SystemRoot%Program Files\ClamWin
• %SystemRoot%Program Files\ESET
• %SystemRoot%Program Files\Google\Google Toolbar
• %SystemRoot%Program Files\Kaspersky Lab
• %SystemRoot%Program Files\McAfee
• %SystemRoot%Program Files\Microsoft Security Client
• %SystemRoot%Program Files\Norton AntiVirus
• %SystemRoot%Program Files\NortonInstaller
• %SystemRoot%Program Files\Panda Security
• %SystemRoot%Program Files\Trend Micro
• %SystemRoot%Program Files\adawaretb
• %SystemRoot%ProgramData\.clamwin
• %SystemRoot%ProgramData\AVAST Software
• %SystemRoot%ProgramData\AVG Secure Search
• %SystemRoot%ProgramData\AVG2013
• %SystemRoot%ProgramData\Ad-Aware Antivirus
• %SystemRoot%ProgramData\Ad-Aware Browsing Protection
• %SystemRoot%ProgramData\Avira
• %SystemRoot%ProgramData\ESET
• %SystemRoot%ProgramData\Kaspersky Lab
• %SystemRoot%ProgramData\MFAData
• %SystemRoot%ProgramData\McAfee
• %SystemRoot%ProgramData\Norton
• %SystemRoot%ProgramData\NortonInstaller
• %SystemRoot%ProgramData\Panda Security
• %SystemRoot%ProgramData\Trend Micro
• %SystemRoot%ProgramData\Windows Genuine Advantage
• %SystemRoot%ProgramData\adawaretb

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\full

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

• %SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd\hkcmds.my

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• %SystemRoot%\Log_OUT.txt

Este malware envía la información recopilada a una dirección de correo electrónico predeterminada utilizando su propio motor de protocolo simple de transferencia de correo (SMTP).