TROJ_BUNITU.YAY
Troj/Bunitu-L (Sophos) ,Trojan horse Proxy.BDLC (AVG) ,W32/Yakes.EZLE!tr (Fortinet) ,Trojan.Win32.Yakes.ezle (Kaspersky) ,TrojanProxy:Win32/Bunitu.F (Microsoft) ,RDN/Generic Proxy!i (McAfee) ,a variant of Win32/TrojanProxy.Agent.NWT trojan (Eset) ,Trojan.Win32.Generic!BT (Sunbelt)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Puede haberlo infiltrado otro malware.
Detalles técnicos
Detalles de entrada
Puede haberlo infiltrado otro malware.
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_VERSION\Software\Windows\
CurrentVersion\Run
{File Name} = "rundll32 "{Malware Path and File name}",{File Name}"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{File Name}
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{File Name}
Impersonate = "1"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{File Name}
"Asynchronous" = "1"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{File Name}
MaxWait = "1"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{File Name}
DllName = "{Malware Path and File name}"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{File Name}
Startup = "{File Name}"
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
List
{Malware Path and File name} = "{Malware Path and File name}:*:Enabled:{File Name}"