TSPY_BANKER.WAV
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo di minaccia informatica:
Spyware
Distruttivo?:
No
Crittografato?:
Sì
In the wild::
Sì
Panoramica e descrizione
Este malware puede haberlo descargado otro malware desde sitios remotos.
Este malware envía la información recopilada a una dirección de correo electrónico predeterminada utilizando su propio motor de protocolo simple de transferencia de correo (SMTP).
Dettagli tecnici
Detalles de entrada
Este malware puede descargarlo desde sitio(s) remoto(s) el malware siguiente:
- TROJ_BANLOAD.KMZ
Instalación
Este malware infiltra el/los siguiente(s) archivo(s):
- %SystemRoot%\DVD MakerShow\Sony\Enterprise\Modal\OUT\connect.cpl - also detected as TSPY_BANKER.WAV
- %SystemRoot%\DVD MakerShow\Sony\Enterprise\Modal\OUT\connect.my - encrypted dll
Crea las carpetas siguientes:
- %SystemRoot%\DVD MakerShow\Sony\Enterprise\Modal\OUT
- %SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\Bloqs
- %SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd
Técnica de inicio automático
Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
hkcmds = "%SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd\hkcmds.exe"
Otras modificaciones del sistema
Elimina las carpetas siguientes:
- %SystemRoot%Arquivos de programas (x64)\AVAST Software
- %SystemRoot%Arquivos de programas (x64)\AVG
- %SystemRoot%Arquivos de programas (x64)\AVG Secure Search
- %SystemRoot%Arquivos de programas (x86)\AVAST Software
- %SystemRoot%Arquivos de programas (x86)\AVG
- %SystemRoot%Arquivos de programas (x86)\AVG Secure Search
- %SystemRoot%Arquivos de programas\AVAST Software
- %SystemRoot%Arquivos de programas\AVG
- %SystemRoot%Arquivos de programas\AVG Secure Search
- %SystemRoot%Arquivos de programas\Ad-Aware Antivirus
- %SystemRoot%Arquivos de programas\Ad-Aware Antivirus
- %SystemRoot%Arquivos de programas\Ask.com
- %SystemRoot%Arquivos de programas\Avira
- %SystemRoot%Arquivos de programas\ClamWin
- %SystemRoot%Arquivos de programas\ESET
- %SystemRoot%Arquivos de programas\Google\Google Toolbar
- %SystemRoot%Arquivos de programas\Kaspersky Lab
- %SystemRoot%Arquivos de programas\McAfee
- %SystemRoot%Arquivos de programas\Microsoft Security Client
- %SystemRoot%Arquivos de programas\Norton AntiVirus
- %SystemRoot%Arquivos de programas\NortonInstaller
- %SystemRoot%Arquivos de programas\Panda Security
- %SystemRoot%Arquivos de programas\Trend Micro
- %SystemRoot%Arquivos de programas\adawaretb
- %SystemRoot%Documents and Settings\All Users\.clamwin
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\AVAST Software
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\AVG2013
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Ad-Aware Antivirus
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Ad-Aware Browsing Protection
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Avira
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\ESET
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Kaspersky Lab
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\MFAData
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\McAfee
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Norton
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\NortonInstaller
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Panda Security
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Trend Micro
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Windows Genuine Advantage
- %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\adawaretb
- %SystemRoot%Program Files\Ad-Aware Antivirus
- %SystemRoot%Program Files\Ask.com
- %SystemRoot%Program Files\Avira
- %SystemRoot%Program Files\ClamWin
- %SystemRoot%Program Files\ESET
- %SystemRoot%Program Files\Google\Google Toolbar
- %SystemRoot%Program Files\Kaspersky Lab
- %SystemRoot%Program Files\McAfee
- %SystemRoot%Program Files\Microsoft Security Client
- %SystemRoot%Program Files\Norton AntiVirus
- %SystemRoot%Program Files\NortonInstaller
- %SystemRoot%Program Files\Panda Security
- %SystemRoot%Program Files\Trend Micro
- %SystemRoot%Program Files\adawaretb
- %SystemRoot%ProgramData\.clamwin
- %SystemRoot%ProgramData\AVAST Software
- %SystemRoot%ProgramData\AVG Secure Search
- %SystemRoot%ProgramData\AVG2013
- %SystemRoot%ProgramData\Ad-Aware Antivirus
- %SystemRoot%ProgramData\Ad-Aware Browsing Protection
- %SystemRoot%ProgramData\Avira
- %SystemRoot%ProgramData\ESET
- %SystemRoot%ProgramData\Kaspersky Lab
- %SystemRoot%ProgramData\MFAData
- %SystemRoot%ProgramData\McAfee
- %SystemRoot%ProgramData\Norton
- %SystemRoot%ProgramData\NortonInstaller
- %SystemRoot%ProgramData\Panda Security
- %SystemRoot%ProgramData\Trend Micro
- %SystemRoot%ProgramData\Windows Genuine Advantage
- %SystemRoot%ProgramData\adawaretb
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\full
Rutina de descarga
Guarda los archivos que descarga con los nombres siguientes:
- %SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd\hkcmds.my
Información sustraída
Este malware guarda la información robada en el archivo siguiente:
- %SystemRoot%\Log_OUT.txt
Este malware envía la información recopilada a una dirección de correo electrónico predeterminada utilizando su propio motor de protocolo simple de transferencia de correo (SMTP).
Soluzioni
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Reiniciar en modo seguro
Step 3
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER
- full
- full
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- hkcmds = "%SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd\hkcmds.exe"
- hkcmds = "%SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd\hkcmds.exe"
Step 5
Buscar y eliminar estas carpetas
- %SystemRoot%\DVD MakerShow\Sony\Enterprise\Modal\OUT
- %SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\Bloqs
- %SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd
Step 6
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como TSPY_BANKER.WAV En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Sondaggio