Análisis realizado por : Rhena Inocencio   
 Alias

Mal/Packer (Sophos) ,W32/Heuristic-210!Eldorado (damaged, not disinfectable) (Fprot) ,Trojan.SuspectCRC (Ikarus) ,HEUR:Trojan.Win32.Generic (Kaspersky) ,Backdoor:Win32/Zegost.AY (Microsoft) ,Backdoor.Trojan (Symantec) ,Trojan.Win32.Generic!BT (Sunbelt)

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Backdoor

  • Destructivo?
    No

  • Cifrado

  • In the Wild:

  Resumen y descripción

Canal de infección Descargado de Internet, Eliminado por otro tipo de malware

Se conecta a un sitio Web para enviar y recibir información.

  Detalles técnicos

Tamaño del archivo 332,873 bytes
Tipo de archivo EXE
Residente en memoria
Fecha de recepción de las muestras iniciales 20 May 2014
Carga útil Compromises system security, Collects system information, Terminates processes

Instalación

Agrega los siguientes archivos o componentes de archivos maliciosos:

  • %System Root%\{random foldername}\{random filename}.dll - detected as BKDR_ZEGOST.TPAN
  • %System Root%\{random foldername}\MUpdate.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
CTFM0N = "%System Root%\{random foldername}\MUpdate.exe "%System Root%\{random foldername}\{random filename}.dll,ALSTS_ExecuteAction""

Rutina de puerta trasera

Se conecta a los sitios Web siguientes para enviar y recibir información:

  • {BLOCKED}.{BLOCKED}.119.178
  • {BLOCKED}.{BLOCKED}ION.INFO
  • {BLOCKED}0.{BLOCKED}s.info
  • v.{BLOCKED}n.com

A fecha de redacción de este documento no es posible acceder a los servidores mencionados.

Modificar el archivo HOSTS

Este malware modifica los archivos HOSTS del sistema para redireccionar a los usuarios una vez que se accede al/a los sitio(s) Web siguiente(s):

  • 126.117.125.213 nAVER.coM
  • 126.117.125.213 kIsA.hoNabenk.coM
  • 126.117.125.213 kIsA.kcB.co.kR
  • 126.117.125.213 kIsA.kfoc.co.kR
  • 126.117.125.213 www.nAVER.co.KR
  • 126.117.125.213 nAVER.cO.kR
  • 126.117.125.213 www.nONGhyup.coM
  • 126.117.125.213 BaNKiNg.nONGhyup.coM
  • 126.117.125.213 iBz.nONGhyup.coM
  • 126.117.125.213 www.nAVER.coM
  • 126.117.125.213 nAVER.kR
  • 126.117.125.213 www.nAVER.Kr
  • 126.117.125.213 KisA.kBstor.coM
  • 126.117.125.213 KisA.nONGhuyp.coM
  • 126.117.125.213 KisA.nONGhyup.coM
  • 126.117.125.213 KisA.shiNhoN.coM
  • 126.117.125.213 KisA.WOORibenk.coM
  • 126.117.125.213 KisA.IDK.co.kR
  • 126.117.125.213 KisA.ibek.co.kR
  • 126.117.125.213 KisA.EPostbenk.go.kR
  • 126.117.125.213 KisA.hanAbenk.coM
  • 126.117.125.213 KisA.keB.co.kR
  • 126.117.125.213 KisA.kcB.co.kR
  • 126.117.125.213 KisA.kfoc.co.kR
  • 126.117.125.213 KisA.kfcc.co.kR
  • 126.117.125.213 www.nATe.nEt
  • 126.117.125.213 kIsA.kBstor.coM
  • 126.117.125.213 kIsA.hanabank.com
  • 126.117.125.213 kIsA.Nenghuyp.coM
  • 126.117.125.213 kIsA.shiNhoN.coM
  • 126.117.125.213 kIsA.wooribenk.coM
  • 126.117.125.213 kIsA.idk.co.kR
  • 126.117.125.213 kIsA.epostbenk.go.kR
  • 126.117.125.213 kIsA.hoNabenk.coM
  • 126.117.125.213 kIsA.kcB.co.kR
  • 126.117.125.213 kIsA.kfoc.co.kR
  • 126.117.125.213 KisA.kBstAR.coM
  • 126.117.125.213 www.nATe.Kr
  • 126.117.125.213 nATe.kR
  • 126.117.125.213 phARmiNg.KisA.or.kR
  • 126.117.125.213 www.GmARkeT.cO.kr
  • 126.117.125.213 BizBaNk.shiNhaN.coM
  • 126.117.125.213 oPEN.shiNhaN.coM
  • 126.117.125.213 daUm.NeT
  • 126.117.125.213 gMARkEt.CO.kr
  • 126.117.125.213 www.nATe.cO.kr
  • 126.117.125.213 nATe.Co.Kr
  • 126.117.125.213 myBaNk.iBk.co.kR
  • 126.117.125.213 Kiup.iBk.co.kR
  • 126.117.125.213 oPEN.iBk.co.kR
  • 126.117.125.213 www.daum.NeT
  • 126.117.125.213 WOORiBaNk.coM
  • 126.117.125.213 haNmail.NeT
  • 126.117.125.213 eBaNk.keB.co.kR
  • 126.117.125.213 www.gmARket.co.kr
  • 126.117.125.213 oNliNe.keB.co.kR
  • 126.117.125.213 oPEN.keB.co.kR
  • 126.117.125.213 www.haNmail.Net
  • 126.117.125.213 oPEN.hanABaNk.com
  • 126.117.125.213 www.hanAcBs.coM
  • 126.117.125.213 kfCc.co.kR
  • 126.117.125.213 www.kfcc.co.kR
  • 126.117.125.213 iBs.kfcc.co.kR
  • 126.117.125.213 EPostBaNk.go.kR
  • 126.117.125.213 www.EPostBaNk.go.kR
  • 126.117.125.213 www.nAte.com

Robo de información

Recopila los siguientes datos:

  • OS version
  • System's default language
  • Processor information

Otros detalles

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

  • %System%\drivers\etc\hosts.ics - temporary file that contains contents of data.mdb
  • {malware path}\data.mdb - contains the decrypted received data. This is deleted after contents are copied to the hosts file

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

  Soluciones

Motor de exploración mínimo 9.700
Primer archivo de patrones de VSAPI 10.806.04
Primera fecha de publicación de patrones de VSAPI 20 de mayo de 2014
Versión de patrones OPR de VSAPI 10.807.00
Fecha de publicación de patrones OPR de VSAPI 21 de mayo de 2014

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como BKDR_ZEGOST.TPAN

Step 3

Reiniciar en modo seguro

[ aprenda más ]

Step 4

Eliminar este valor del Registro

[ aprenda más ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • CTFM0N = "%System Root%\{random foldername}\MUpdate.exe "%System Root%\{random foldername}\{random filename}.dll,ALSTS_ExecuteAction""

Step 5

Buscar y eliminar estos archivos

[ aprenda más ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.  
  • %System Root%\{random foldername}\{random filename}.dll
  • %System Root%\{random foldername}\MUpdate.exe

Step 6

Eliminar estas cadenas que el malware/grayware/spyware ha añadido al archivo HOSTS

[ aprenda más ]
     
    • 126.117.125.213  nAVER.coM
    • 126.117.125.213  kIsA.hoNabenk.coM
    • 126.117.125.213  kIsA.kcB.co.kR
    • 126.117.125.213  kIsA.kfoc.co.kR
    • 126.117.125.213  www.nAVER.co.KR
    • 126.117.125.213  nAVER.cO.kR
    • 126.117.125.213  www.nONGhyup.coM
    • 126.117.125.213  BaNKiNg.nONGhyup.coM
    • 126.117.125.213  iBz.nONGhyup.coM
    • 126.117.125.213  www.nAVER.coM
    • 126.117.125.213  nAVER.kR
    • 126.117.125.213  www.nAVER.Kr
    • 126.117.125.213  KisA.kBstor.coM
    • 126.117.125.213  KisA.nONGhuyp.coM
    • 126.117.125.213  KisA.nONGhyup.coM
    • 126.117.125.213  KisA.shiNhoN.coM
    • 126.117.125.213  KisA.WOORibenk.coM
    • 126.117.125.213  KisA.IDK.co.kR
    • 126.117.125.213  KisA.ibek.co.kR
    • 126.117.125.213  KisA.EPostbenk.go.kR
    • 126.117.125.213  KisA.hanAbenk.coM
    • 126.117.125.213  KisA.keB.co.kR
    • 126.117.125.213  KisA.kcB.co.kR
    • 126.117.125.213  KisA.kfoc.co.kR
    • 126.117.125.213  KisA.kfcc.co.kR
    • 126.117.125.213  www.nATe.nEt
    • 126.117.125.213  kIsA.kBstor.coM
    • 126.117.125.213  kIsA.hanabank.com
    • 126.117.125.213  kIsA.Nenghuyp.coM
    • 126.117.125.213  kIsA.shiNhoN.coM
    • 126.117.125.213  kIsA.wooribenk.coM
    • 126.117.125.213  kIsA.idk.co.kR
    • 126.117.125.213  kIsA.epostbenk.go.kR
    • 126.117.125.213  kIsA.hoNabenk.coM
    • 126.117.125.213  kIsA.kcB.co.kR
    • 126.117.125.213  kIsA.kfoc.co.kR
    • 126.117.125.213  KisA.kBstAR.coM
    • 126.117.125.213  www.nATe.Kr
    • 126.117.125.213  nATe.kR
    • 126.117.125.213  phARmiNg.KisA.or.kR
    • 126.117.125.213  www.GmARkeT.cO.kr
    • 126.117.125.213  BizBaNk.shiNhaN.coM
    • 126.117.125.213  oPEN.shiNhaN.coM
    • 126.117.125.213  daUm.NeT
    • 126.117.125.213  gMARkEt.CO.kr
    • 126.117.125.213  www.nATe.cO.kr
    • 126.117.125.213  nATe.Co.Kr
    • 126.117.125.213  myBaNk.iBk.co.kR
    • 126.117.125.213  Kiup.iBk.co.kR
    • 126.117.125.213  oPEN.iBk.co.kR
    • 126.117.125.213  www.daum.NeT
    • 126.117.125.213  WOORiBaNk.coM
    • 126.117.125.213  haNmail.NeT
    • 126.117.125.213  eBaNk.keB.co.kR
    • 126.117.125.213  www.gmARket.co.kr
    • 126.117.125.213  oNliNe.keB.co.kR
    • 126.117.125.213  oPEN.keB.co.kR
    • 126.117.125.213  www.haNmail.Net
    • 126.117.125.213  oPEN.hanABaNk.com
    • 126.117.125.213  www.hanAcBs.coM
    • 126.117.125.213  kfCc.co.kR
    • 126.117.125.213  www.kfcc.co.kR
    • 126.117.125.213  iBs.kfcc.co.kR
    • 126.117.125.213  EPostBaNk.go.kR
    • 126.117.125.213  www.EPostBaNk.go.kR
    • 126.117.125.213  www.nAte.com

Step 7

Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como BKDR_ZEGOST.TPAN En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Rellene nuestra encuesta!