Trojan.Win32.CONVAGENT.0NA103AQ24
Trojan.Win32.Diple (IKARUS)
Windows
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Detalles técnicos
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Instalación
Infiltra los archivos siguientes:
- %Favorites%\{Random Character}.url
- %User Temp%\Temp\{Random Character}.tmp
- %User Temp%\{Random Character}TMP\{Random Character}.tmp
- %Favorites%\淘宝购物\icon.ico
- %Favorites%\驴家旅游\icon.ico
- %Favorites%\淘宝购物\Desktop.ini
- %Favorites%\驴家旅游\Desktop.ini
- %User Temp%\{Random Character}.tmp → Deleted afterward
- %User Temp%\fbinst.dll → Deleted afterward
(Nota: %Favorites% es la carpeta Favoritos del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Favorites, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Favoritos, en Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Favoritos y en Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\Favorites).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).)Agrega los procesos siguientes:
- %AppDataLocal%\{Random Character}TMP\Fav~Url.tmp -y -o"%Favorites%"
- %System%\cmd.exe /c %User Temp%\fbinst.dll "%System%\uqdOnce\SUPPORT.IM_" output IMG/* %~nx
- %System%\cmd.exe /c ping 127.0.0.1 -n 50® add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.{BLOCKED}0.com/?3" /f
- %System%\cmd.exe /c ping 127.0.0.1 -n 3&del /q "{Malware File Path}"
- reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www..{BLOCKED}0.com/?3" /f
Técnica de inicio automático
Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
ctfmon.exe = %System%\ctfmon.exe
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
DependOnService = Tcpip, Afd
HKLM\SYSTEM\ControlSet001\
services\Apache
Description = Apache/2.2.19 (Win32) PHP/5.2.9-1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
DisplayName = Apache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
ErrorControl = 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
ImagePath = "%Windows%\Apache\bin\httpd.exe" -k runservice
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
ObjectName = LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
Type = 16
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache\Parameters
ConfigArgs = -f, %Windows%\Apache\conf\httpd.conf, -d, %Windows%\Apache\.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache\Security
Security = {Hex values}
Otros detalles
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\360safe
HKEY_CURRENT_USER\Software\360safe\
360se
HKEY_CURRENT_USER\Software\360
HKEY_CURRENT_USER\Software\360\
360se3
HKEY_CURRENT_USER\Software\360\
360se5
HKEY_CURRENT_USER\Software\360\
360se5\default
HKEY_CURRENT_USER\Software\360\
360se5\default\LastUrls
HKEY_CURRENT_USER\Software\360\
360se5\default\option
HKEY_CURRENT_USER\Software\360chrome
HKEY_CURRENT_USER\Software\360chrome\
Homepage
HKEY_CURRENT_USER\Software\360chrome\
Homepage\Default
HKEY_CURRENT_USER\Software\360\
360se6
HKEY_CURRENT_USER\Software\360\
360se6\Chrome
HKEY_CURRENT_USER\Software\360\
360se5\default\Wnd
HKEY_CURRENT_USER\Software\360\
360se5\default\Search
HKEY_CURRENT_USER\Software\360\
360se5\default\main
HKEY_CURRENT_USER\Software\PPStream
HKEY_CURRENT_USER\Software\PPStream\
main
HKEY_CURRENT_USER\Software\Baidu
HKEY_CURRENT_USER\Software\Baidu\
BaiduBrowser
HKEY_CURRENT_USER\Software\Baidu\
BaiduBrowser\updateinfo
HKEY_LOCAL_MACHINE\SOFTWARE\360SD
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\
Coop
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Synacast
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache\Security
Hace lo siguiente:
- Deletes itself after execution.
Soluciones
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.
Step 3
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\360safe
- In HKEY_CURRENT_USER\Software\360safe\360se
- In HKEY_CURRENT_USER\Software\360
- In HKEY_CURRENT_USER\Software\360\360se3
- In HKEY_CURRENT_USER\Software\360\360se5
- In HKEY_CURRENT_USER\Software\360\360se5\default
- In HKEY_CURRENT_USER\Software\360\360se5\default\LastUrls
- In HKEY_CURRENT_USER\Software\360\360se5\default\option
- In HKEY_CURRENT_USER\Software\360chrome
- In HKEY_CURRENT_USER\Software\360chrome\Homepage
- In HKEY_CURRENT_USER\Software\360chrome\Homepage\Default
- In HKEY_CURRENT_USER\Software\360\360se6
- In HKEY_CURRENT_USER\Software\360\360se6\Chrome
- In HKEY_CURRENT_USER\Software\360\360se5\default\Wnd
- In HKEY_CURRENT_USER\Software\360\360se5\default\Search
- In HKEY_CURRENT_USER\Software\360\360se5\default\main
- In HKEY_CURRENT_USER\Software\PPStream
- In HKEY_CURRENT_USER\Software\PPStream\main
- In HKEY_CURRENT_USER\Software\Baidu
- In HKEY_CURRENT_USER\Software\Baidu\BaiduBrowser
- In HKEY_CURRENT_USER\Software\Baidu\BaiduBrowser\updateinfo
- In HKEY_LOCAL_MACHINE\SOFTWARE\360SD
- In HKEY_LOCAL_MACHINE\SOFTWARE\360Safe
- In HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\Coop
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Synacast
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache\Parameters
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache\Security
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- DependOnService = Tcpip, Afd
- DependOnService = Tcpip, Afd
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- Description = Apache/2.2.19 (Win32) PHP/5.2.9-1
- Description = Apache/2.2.19 (Win32) PHP/5.2.9-1
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- DisplayName = Apache
- DisplayName = Apache
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- ErrorControl = 1
- ErrorControl = 1
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- ImagePath = "%Windows%\Apache\bin\httpd.exe" -k runservice
- ImagePath = "%Windows%\Apache\bin\httpd.exe" -k runservice
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- ObjectName = LocalSystem
- ObjectName = LocalSystem
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- Start = 2
- Start = 2
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- Type = 16
- Type = 16
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache\Parameters
- ConfigArgs = -f, %Windows%\Apache\conf\httpd.conf, -d, %Windows%\Apache\.
- ConfigArgs = -f, %Windows%\Apache\conf\httpd.conf, -d, %Windows%\Apache\.
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache\Security
- Security = {Hex values}
- Security = {Hex values}
Step 5
Buscar y eliminar este archivo
- %Favorites%\{Random Character}.url
- %User Temp%\Temp\{Random Character}.tmp
- %User Temp%\{Random Character}TMP\{Random Character}.tmp
- %Favorites%\淘宝购物\icon.ico
- %Favorites%\驴家旅游\icon.ico
- %Favorites%\淘宝购物\Desktop.ini
- %Favorites%\驴家旅游\Desktop.ini
- %User Temp%\aut35B3.tmp
- %User Temp%\fbinst.dll
Step 6
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como Trojan.Win32.CONVAGENT.0NA103AQ24 En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Rellene nuestra encuesta!