TROJANSPY.WIN32.GOLROTED.THAOOEAH
HEUR:Backdoor.Win32.Androm.gen (Kaspersky); Trojan:Win32/Casdet!rfn (Microsoft); Trojan.Crypt (Ikarus)
Windows
Tipo de malware
Trojan Spy
Destructivo?
No
Cifrado
Sí
In the Wild:
Sí
Resumen y descripción
Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.
Detalles técnicos
Detalles de entrada
Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %User Temp%\tmp{Random Filename}.tmp
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Agrega los procesos siguientes:
- "%Windows%\Microsoft.NET\Framework\v2.0.50727\vbc.exe" /stext "%User Temp%\tmp{Random Filename}.tmp"
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Robo de información
Recopila los siguientes datos:
- Computer name
- Local Date and Time
- Installed Language
- Operating System Platform
- Operating System Version
- Key logs
- Clipboard logs
- Stealing account information from the following applications:
- Minecraft
- FileZilla
Información sustraída
Este malware envía los datos que recopila a las siguientes direcciones de correo electrónico a través de SMTP:
- {BLOCKED}ns@{BLOCKED}oup.space
Soluciones
Step 2
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Reiniciar en modo seguro
Step 4
Buscar y eliminar este archivo
- %User Temp%\tmp{Random Filename}.tmp
Step 5
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como TROJANSPY.WIN32.GOLROTED.THAOOEAH En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Rellene nuestra encuesta!