Trojan.PDF.DLOADR.TIAOOHMZ
Windows
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Detalles técnicos
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Instalación
Infiltra los archivos siguientes:
- %Public%\vbc.exe
- %User Temp%\ociif.exe
- %User Temp%\oeaxr
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).
)Agrega los procesos siguientes:
- %Program Files%\Microsoft Office\Office12\EXCEL.EXE /e
- %Program Files%\Microsoft Office\Office12\WINWORD.EXE -Embedding
- %Program Files%\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE -Embedding
- %Public%\vbc.exe
- %User Temp%\ociif.exe %User Temp%\oeaxr
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).)Otros detalles
It connects to the following possibly malicious URL:
- https://py{BLOCKED}.org/hUjNG
- http://192.{BLOCKED}.{BLOCKED}.211/document/888.doc
- http://192.{BLOCKED}.{BLOCKED}.211/888/vbc.exe