Coinminer.Win32.MALXMY.THAAADAH
Trojan:Win32/CoinMiner.QN!bi (MICROSOFT); Generic.dzg (NAI); DeepScan:Generic.Malware.SFMBVWk.F1628CDE (BITDEFENDER)
Windows
Threat Type:
Coinminer
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Infiltra y ejecuta los archivos siguientes:
- %All Users Profile%\adobe\{random}.exe
- %All Users Profile%\temp\{random}.exe
- %All Users Profile%\top\{random}.exe
- %All Users Profile%\delus.bat
Agrega los procesos siguientes:
- cmd /c icacls c:\ /setintegritylevel M
- cmd /c icacls %System Root%\ /setintegritylevel M
- cmd /c sc Create WebCliant binPath= "cmd /c start %Application Data%\Microsoft\Windows\desktop.vbs" type= own type= interact start= auto
- cmd /c sc Create ChannelRent binPath= "cmd /c start %System%\Com\vsx.vbs" type= own type= interact start= auto
- cmd /c sc Create ChannelPace binPath= "cmd /c start %Application Data%\winsa.vbs" type= own type= interact start= auto
- %All Users Profile%\ativsi.exe " -a lyra2z -o apple.exe -a yescrypt -o stratum+tcp://yescrypt.xmy.mine.zpool.ca:6233 -u MP8WzU2Ko3GKzMtnEZhz36RMCkjQok4L9d -p c=xmy
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Crea las carpetas siguientes:
- %All Users Profile%\top
- %All Users Profile%\temp
- %All Users Profile%\Adobe
- %Program Files%\360\360sd
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
)Rutina de infiltración
Infiltra los archivos siguientes:
- %Program Files%\360\360sd\360sd.exe
- %All Users Profile%\{random}.exe
- %Application Data%\{random}.bat
- %Application Data%\winsa.vbs
- %Application Data%\cba.vbs
- %Program Files%\windows nt\{random}.dll
- %Program Files%\common files\{random}.dll
- %Program Files%\internet explorer\{random}.dll
- %Application Data%\Microsoft\Windows\desktop.vbs
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).)
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Reiniciar en modo seguro
Step 4
Desactivar este servicio de malware
- WebCliant
- ChannelRent
- ChannelPace
Step 5
Buscar y eliminar estas carpetas
- %All Users Profile%\top
- %All Users Profile%\temp
- %All Users Profile%\Adobe
- %Program Files%\360\360sd
Step 6
Buscar y eliminar estos archivos
- %All Users Profile%\banssec.inf
- %Program Files%\360\360sd\360sd.exe
- %All Users Profile%\{random}.exe
- %Application Data%\{random}.bat
- %Application Data%\winsa.vbs
- %Application Data%\cba.vbs
- %Program Files%\windows nt\{random}.dll
- %Program Files%\common files\{random}.dll
- %Program Files%\internet explorer\{random}.dll
- %Application Data%\Microsoft\Windows\desktop.vbs
- %All Users Profile%\banssec.inf
- %Program Files%\360\360sd\360sd.exe
- %All Users Profile%\{random}.exe
- %Application Data%\{random}.bat
- %Application Data%\winsa.vbs
- %Application Data%\cba.vbs
- %Program Files%\windows nt\{random}.dll
- %Program Files%\common files\{random}.dll
- %Program Files%\internet explorer\{random}.dll
- %Application Data%\Microsoft\Windows\desktop.vbs
Step 7
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como Coinminer.Win32.MALXMY.THAAADAH En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Did this description help? Tell us how we did.