Author: Karl Dominguez   
 PLATFORM:

Windows 2000, XP, Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

Para obtener una visión integral del comportamiento de este Trojan, consulte el diagrama de amenazas que se muestra a continuación.

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam. Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos. No obstante, de este modo no se podrá acceder a los sitios mencionados.

  TECHNICAL DETAILS

File size: 79,360 bytes
File type: PE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 24 sierpnia 2010
PAYLOAD: Downloads files

Detalles de entrada

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Instalación

Se introduce en los siguientes procesos que se ejecutan en la memoria del sistema afectado:

  • Explorer.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = rundll32.exe {malware path and file name},Startup

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = rundll32.exe {malware path and file name},iep

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\{random characters}

  SOLUTION

Minimum scan engine: 8.900
First VSAPI Pattern File: 7.408.01
First VSAPI Pattern Release Date: 25 de sierpnia de 2010
VSAPI OPR PATTERN-VERSION: 7.409.00
VSAPI OPR PATTERN DATE: 26 de sierpnia de 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como TROJ_HILOTI.FNZ

Step 3

Reiniciar en modo seguro

[ learnMore ]


Did this description help? Tell us how we did.