PLATFORM:

Windows 98, ME, NT, 2000, XP, Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Este malware se puede inyectar en los procesos que se ejecutan en la memoria.



Modifica las entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema.



Modifica los archivos HOSTS del sistema afectado. Esto impide el acceso de los usuarios a determinados sitios Web.



Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).



  TECHNICAL DETAILS

File size: 61952 bytes
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 17 grudnia 2009

Puntos de infección


Llega en forma de archivo descargado de las siguientes URL:

  • http://{BLOCKED}nlit.cn/cqi-bin/ldr(serverinlit.cn).exe



Instalación


Crea copias de sí mismo en la carpeta del sistema de Windows y anexa códigos basura a las copias para dificultar su detección. Las copias utilizan los siguientes nombres de archivo:

  • sdra64.exe


Crea las siguientes carpetas con atributos configurados como Sistema y Oculto para impedir que los usuarios descubran y eliminen sus componentes:

  • %System%\lowsec

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)


Este malware se puede inyectar en los procesos que se ejecutan en la memoria.


Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

  • _AVIRA_2109



Técnica de inicio automático


Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\ CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe;%System%\sdra64.exe;"

(Note: The default value data of the said registry entry is %System%\userinit.exe;.)



Otras modificaciones del sistema


Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\ CurrentVersion\Network
UID = "{computer name}_{random numbers}"



Modificar el archivo HOSTS


Modifica los archivos HOSTS del sistema afectado para que los usuarios no puedan acceder a los sitios Web siguientes:

  • 127.0.0.1 ********d
  • 127.0.0.1 a188.x.ak
  • 127.0.0.1 acs.panda
  • 127.0.0.1 akamai.ne
  • 127.0.0.1 anti-viru
  • 127.0.0.1 antivirus
  • 127.0.0.1 avp.com
  • 127.0.0.1 avu.zonel
  • 127.0.0.1 diamondcs
  • 127.0.0.1 dl1.antiv
  • 127.0.0.1 dl2.antiv
  • 127.0.0.1 dl3.antiv
  • 127.0.0.1 dl4.antiv
  • 127.0.0.1 download.
  • 127.0.0.1 download1
  • 127.0.0.1 download2
  • 127.0.0.1 download3
  • 127.0.0.1 download4
  • 127.0.0.1 download5
  • 127.0.0.1 download6
  • 127.0.0.1 download7
  • 127.0.0.1 downloads
  • 127.0.0.1 files.tre
  • 127.0.0.1 fr.bitdef
  • 127.0.0.1 fr.mcafee
  • 127.0.0.1 fractus.m
  • 127.0.0.1 free.gris
  • 127.0.0.1 ftp.ca.co
  • 127.0.0.1 ftp.esafe
  • 127.0.0.1 ftp.europ
  • 127.0.0.1 ftp.micro
  • 127.0.0.1 ftp.nai.c
  • 127.0.0.1 ftp.syman
  • 127.0.0.1 ftp://dow
  • 127.0.0.1 housecall
  • 127.0.0.1 ieupdate.
  • 127.0.0.1 ieupdate1
  • 127.0.0.1 ieupdate2
  • 127.0.0.1 ieupdate3
  • 127.0.0.1 ieupdate4
  • 127.0.0.1 ieupdate5
  • 127.0.0.1 ieupdate6
  • 127.0.0.1 liveupdat
  • 127.0.0.1 mcafee.co
  • 127.0.0.1 microsoft
  • 127.0.0.1 my-etrust
  • 127.0.0.1 niuone.no
  • 127.0.0.1 pccreg.an
  • 127.0.0.1 radius.tu
  • 127.0.0.1 rads.mcaf
  • 127.0.0.1 retail.sp
  • 127.0.0.1 retail01.
  • 127.0.0.1 retail02.
  • 127.0.0.1 security.
  • 127.0.0.1 securityr
  • 127.0.0.1 secuser.c
  • 127.0.0.1 secuser.m
  • 127.0.0.1 symantec.
  • 127.0.0.1 tds.diamo
  • 127.0.0.1 update.sy
  • 127.0.0.1 updates.a
  • 127.0.0.1 upgrade.b
  • 127.0.0.1 us.mcafee
  • 127.0.0.1 v4.window
  • 127.0.0.1 v5.window
  • 127.0.0.1 windowsup
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www.{BLOCKED}
  • 127.0.0.1 www1.my-e
  • 127.0.0.1 www3.ca.c
  • 193.125.23.12 updates.sald.



Robo de información


Accede al siguiente sitio para descargar su archivo de configuración:

  • http://{BLOCKED}nlit.cn/cqi-bin/cgi2.bin


Tiene como objetivo los siguientes sitios web:

  • *agent.e-port.ru/cp/lkan/lka.cp*
  • *altergold.com/login.php*
  • *arquia.es*
  • *bankofamerica.com*
  • *bankofinternet.com*
  • *bbvanetcash.com*
  • *bcaixanet-empresas.bancocaixageral.es*
  • *bsb.by*
  • *c-gold.com/account/login.php*
  • *ccm.es*
  • *cedacri.it*
  • *citibank.ru*
  • *citibank.ru/signin/UnameSignonCookie.do*
  • *client.mdmbank.ru/retailweb/login.asp
  • *credem.it*
  • *dab-bank.de*
  • *e-gold.com/acct/login.asp*
  • *easypay.by*
  • *firstib.com*
  • *halifax-online.co.uk*
  • *hsbc.co.uk*
  • *ibank.internationalbanking.barclays.com/logon/*
  • *internetbank.by*
  • *inwestoronline.pl*
  • *ipko.pl*
  • *isideonline.it*
  • *kiwibank.co.nz/banking/login.asp
  • *light.webmoney.ru*
  • *lloydstsb.co.uk*
  • *meine.norisbank.de*
  • *mijn.postbank.nl*
  • *money.yandex.ru*
  • *online-business.lloydstsb.co.uk*
  • *online.lloydstsb.co.uk*
  • *passport.yandex.ru*
  • *paypal.*/cgi-bin/webscr?cmd=_login-done*
  • *paypal.com/row/cgi-bin/webscr?cmd=_profile-address*
  • *rbkmoney.ru*
  • *rupay.com/index.php*
  • *sabadellatlantico.com*
  • *scibinet.com/bus/security/Welcome.do?action=form&UserRoleID=*
  • *scotiaonline.scotiabank.com/online/start.jsp*
  • *secure.inteligo.com.pl/web*
  • *service.fuib.com*
  • *usaa.com/*
  • *www.tb.by*
  • http://*.osmp.ru/
  • http://*citibank.ru*
  • http://www.{BLOCKED}arragona.es/esp/sec_20/codigos.html
  • https://*cajamar.es/BE/extern/htm/login.html*
  • https://*westpac.com.au/wtwt/startpage*
  • https://areasegura.banif.es/bog/bogbsn*
  • https://banca.cajaen.es/ISMC/Jaen/C@JAENdirecto.jsp
  • https://bancaonline.openbank.es/servlet/PProxy?*
  • https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.aspx
  • https://banesnet.banesto.es/*/loginEmpresas.htm
  • https://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
  • https://hb.quiubi.it/newSSO/x11logon.htm
  • https://home.cbonline.co.uk/login.html*
  • https://home.ybonline.co.uk/login.html*
  • https://home.ybonline.co.uk/ral/loginmgr/*
  • https://ibanking.banksa.com.au/InternetBanking/viewAccountPortfolio.do*
  • https://ibanking.stgeorge.com.au/InternetBanking/viewAccountPortfolio.do*
  • https://oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login
  • https://oie.cajamadridempresas.es/CajaMadrid/oie/pt_oie/Login/login_oie_1
  • https://olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp*
  • https://olb2.nationet.com/signon/signon*
  • https://online-offshore.lloydstsb.com/customer.ibc
  • https://online.lloydstsb.co.uk/logon.ibc
  • https://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
  • https://onlinebanking#.wachovia.com/myAccounts.aspx?referrer=authService
  • https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
  • https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
  • https://passport.yandex.ru/passport?mode=remember
  • https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp
  • https://probanking.procreditbank.bg/main/main.asp*
  • https://resources.chase.com/MyAccounts.aspx
  • https://scrigno.popso.it*
  • https://ssl.easypay.by/cgi-bin/client.cgi
  • https://web.da-us.citibank.com/*BS_Id=MemberHomepage*
  • https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/autherror.do*
  • https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/l.do
  • https://web.secservizi.it/siteminderagent/forms/login.fcc
  • https://www#.citizensbankonline.com/*/index-wait.jsp
  • https://www#.usbank.com/internetBanking/LoginRouter
  • https://www*.banking.first-direct.com/1/2/*
  • https://www.53.com/servlet/efsonline/index.html*
  • https://www.arquia.es/bancadis/Login47638.asp
  • https://www.arquia.es/bancadis/registro.asp
  • https://www.bancoherrero.com/cs/*
  • https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html
  • https://www.bgnetplus.com/niloinet/login.jsp
  • https://www.caixagirona.es/cgi-bin/INclient_2030*
  • https://www.caixalaietana.es*
  • https://www.caixaontinyent.es/cgi-bin/INclient_2045
  • https://www.caixatarragona.es/esp/sec_1/oficinacodigo.jsp
  • https://www.cajabadajoz.es/cgi-bin/INclient_6010*
  • https://www.cajacirculo.es/ISMC/Circulo/acceso.jsp
  • https://www.cajalaboral.com/home/acceso.asp
  • https://www.cajasoldirecto.es/2106/*
  • https://www.cajavital.es/Appserver/vitalnet*
  • https://www.citibank.de*
  • https://www.ebank.hsbc.co.uk/main/IBLogon.jsp
  • https://www.gbw2.it/cbl/jspPages/form_login_AV.jsp*
  • https://www.gruppocarige.it/grps/vbank/jsp/login.jsp
  • https://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*
  • https://www.halifax-online.co.uk/_mem_bin/*
  • https://www.in-biz.it*
  • https://www.mybank.alliance-leicester.co.uk/login/*
  • https://www.paypal.com/*/webscr?cmd=_account
  • https://www.paypal.com/*/webscr?cmd=_login-done*
  • https://www.rbsdigital.com/Login.asp*
  • https://www.suntrust.com/portal/server.pt*parentname=Login*
  • https://www.uno-e.com/local_bdnt_unoe/Login_unoe2.html
  • https://www.us.hsbc.com/*
  • https://www2.bancopopular.es/AppBPE/servlet/servin*
  • https://www3.netbank.commbank.com.au/netbank/bankmain*

Tenga en cuenta que el contenido del archivo, y por tanto la lista de sitios web, puede cambiar en cualquier momento.


Intenta robar información de los siguientes bancos y/u otros organismos financieros:

  • Alliance & Leicester
  • BBVA
  • BG Net Plus
  • Banca Intesa
  • Banco Herrero
  • Banco Popular
  • Banesto
  • Banif
  • Bank of America
  • Barclays
  • CCM
  • Caixa Girona
  • Caixa Laietana
  • Caixa Ontinyent
  • Caixa Tarragona
  • Caja Badajoz
  • Caja Circulo
  • Caja Laboral
  • Caja Madrid
  • Caja Vital
  • Caja de Jaen
  • Cajasol
  • Chase
  • Citibank
  • Citizens
  • Clydesdale
  • DAB
  • E-Gold
  • E-Port
  • Fifth Third
  • First Direct
  • Gruppo Carige
  • HSBC
  • Halifax
  • IS Bank
  • Iside
  • Lloyds
  • National City
  • Nationwide
  • OSPM
  • Openbank
  • PayPal
  • PosteItaliane
  • Procredit
  • Qui UBI
  • RBS
  • Raiffeisen
  • Rupay
  • Sabadell Atlantico
  • Scrigno
  • Secservizi
  • Suntrust
  • TD Canada Trust
  • US Bank
  • USAA
  • Uno-E
  • Wachovia
  • Washington Mutual
  • Webmoney Keeper Light
  • Yandex
  • Yorkshire



Información sustraída


La información robada se guarda en los siguientes archivos:

  • %System%\lowsec\user.ds

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)



Puntos de infiltración


Luego, el archivo citado se envía a la siguiente URL vía HTTP POST:

  • http://{BLOCKED}nlit.cn/cqi-bin/scripts.php



Otros detalles


No mostró rutinas de puerta trasera durante la prueba.



Información de variantes


Tiene los siguientes valores hash SHA1:

  • 41b95a336ac8467e1a60986682d092b1495e34d8


Tiene los siguientes valores hash MD5:

  • 08658cea8fef04a36267b82c2afbc92d


  SOLUTION

Minimum scan engine: 8.900
VSAPI OPR PATTERN-VERSION: 6.641.00
VSAPI OPR PATTERN DATE: 20 de listopada de 2009

Step 1


Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.


Step 2


Restaurar este valor del Registro modificado

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • Userinit = %System%\userinit.exe;%System%\sdra64.exe;
      • Userinit = %System%\userinit.exe;


Step 3


Eliminar estas cadenas que el malware/grayware/spyware ha añadido al archivo HOSTS

[ learnMore ]
  • 127.0.0.1 ********d
  • 127.0.0.1 a188.x.ak
  • 127.0.0.1 acs.panda
  • 127.0.0.1 akamai.ne
  • 127.0.0.1 anti-viru
  • 127.0.0.1 antivirus
  • 127.0.0.1 avp.com  
  • 127.0.0.1 avu.zonel
  • 127.0.0.1 diamondcs
  • 127.0.0.1 dl1.antiv
  • 127.0.0.1 dl2.antiv
  • 127.0.0.1 dl3.antiv
  • 127.0.0.1 dl4.antiv
  • 127.0.0.1 download.
  • 127.0.0.1 download1
  • 127.0.0.1 download2
  • 127.0.0.1 download3
  • 127.0.0.1 download4
  • 127.0.0.1 download5
  • 127.0.0.1 download6
  • 127.0.0.1 download7
  • 127.0.0.1 downloads
  • 127.0.0.1 files.tre
  • 127.0.0.1 fr.bitdef
  • 127.0.0.1 fr.mcafee
  • 127.0.0.1 fractus.m
  • 127.0.0.1 free.gris
  • 127.0.0.1 ftp.ca.co
  • 127.0.0.1 ftp.esafe
  • 127.0.0.1 ftp.europ
  • 127.0.0.1 ftp.micro
  • 127.0.0.1 ftp.nai.c
  • 127.0.0.1 ftp.syman
  • 127.0.0.1 ftp://dow
  • 127.0.0.1 housecall
  • 127.0.0.1 ieupdate.
  • 127.0.0.1 ieupdate1
  • 127.0.0.1 ieupdate2
  • 127.0.0.1 ieupdate3
  • 127.0.0.1 ieupdate4
  • 127.0.0.1 ieupdate5
  • 127.0.0.1 ieupdate6
  • 127.0.0.1 liveupdat
  • 127.0.0.1 mcafee.co
  • 127.0.0.1 microsoft
  • 127.0.0.1 my-etrust
  • 127.0.0.1 niuone.no
  • 127.0.0.1 pccreg.an
  • 127.0.0.1 radius.tu
  • 127.0.0.1 rads.mcaf
  • 127.0.0.1 retail.sp
  • 127.0.0.1 retail01.
  • 127.0.0.1 retail02.
  • 127.0.0.1 security.
  • 127.0.0.1 securityr
  • 127.0.0.1 secuser.c
  • 127.0.0.1 secuser.m
  • 127.0.0.1 symantec.
  • 127.0.0.1 tds.diamo
  • 127.0.0.1 update.sy
  • 127.0.0.1 updates.a
  • 127.0.0.1 upgrade.b
  • 127.0.0.1 us.mcafee
  • 127.0.0.1 v4.window
  • 127.0.0.1 v5.window
  • 127.0.0.1 windowsup
  • 127.0.0.1 www.a-2.o
  • 127.0.0.1 www.agnit
  • 127.0.0.1 www.aluri
  • 127.0.0.1 www.anti-
  • 127.0.0.1 www.antiv
  • 127.0.0.1 www.attec
  • 127.0.0.1 www.authe
  • 127.0.0.1 www.avast
  • 127.0.0.1 www.avgfr
  • 127.0.0.1 www.avp.c
  • 127.0.0.1 www.bitde
  • 127.0.0.1 www.black
  • 127.0.0.1 www.ccsof
  • 127.0.0.1 www.centr
  • 127.0.0.1 www.deerf
  • 127.0.0.1 www.dialo
  • 127.0.0.1 www.diamo
  • 127.0.0.1 www.drsol
  • 127.0.0.1 www.eicar
  • 127.0.0.1 www.emsis
  • 127.0.0.1 www.eset.
  • 127.0.0.1 www.f-pro
  • 127.0.0.1 www.f-sec
  • 127.0.0.1 www.finja
  • 127.0.0.1 www.fmsin
  • 127.0.0.1 www.free-
  • 127.0.0.1 www.gecad
  • 127.0.0.1 www.gietl
  • 127.0.0.1 www.griso
  • 127.0.0.1 www.gwava
  • 127.0.0.1 www.iavs.
  • 127.0.0.1 www.ikaru
  • 127.0.0.1 www.inlin
  • 127.0.0.1 www.javac
  • 127.0.0.1 www.k-oti
  • 127.0.0.1 www.Kaspe
  • 127.0.0.1 www.kerio
  • 127.0.0.1 www.lavas
  • 127.0.0.1 www.liuti
  • 127.0.0.1 www.lookn
  • 127.0.0.1 www.mcafe
  • 127.0.0.1 www.mcaff
  • 127.0.0.1 www.megas
  • 127.0.0.1 www.misec
  • 127.0.0.1 www.mooso
  • 127.0.0.1 www.my-et
  • 127.0.0.1 www.nai.c
  • 127.0.0.1 www.NoAdw
  • 127.0.0.1 www.nod32
  • 127.0.0.1 www.norma
  • 127.0.0.1 www.nscle
  • 127.0.0.1 www.opena
  • 127.0.0.1 www.panda
  • 127.0.0.1 www.pestp
  • 127.0.0.1 www.psnw.
  • 127.0.0.1 www.pspl.
  • 127.0.0.1 www.ravan
  • 127.0.0.1 www.safer
  • 127.0.0.1 www.safet
  • 127.0.0.1 www.secur
  • 127.0.0.1 www.secus
  • 127.0.0.1 www.simpl
  • 127.0.0.1 www.sopho
  • 127.0.0.1 www.spybl
  • 127.0.0.1 www.spyco
  • 127.0.0.1 www.spywa
  • 127.0.0.1 www.still
  • 127.0.0.1 www.sybar
  • 127.0.0.1 www.sygat
  • 127.0.0.1 www.syman
  • 127.0.0.1 www.tinys
  • 127.0.0.1 www.toonb
  • 127.0.0.1 www.trapw
  • 127.0.0.1 www.trend
  • 127.0.0.1 www.vet.c
  • 127.0.0.1 www.vigua
  • 127.0.0.1 www.virus
  • 127.0.0.1 www.visua
  • 127.0.0.1 www.vsant
  • 127.0.0.1 www.webro
  • 127.0.0.1 www.wilde
  • 127.0.0.1 www.wildl
  • 127.0.0.1 www.winpa
  • 127.0.0.1 www.x-cle
  • 127.0.0.1 www.zeyls
  • 127.0.0.1 www.zonel
  • 127.0.0.1 www1.my-e
  • 127.0.0.1 www3.ca.c
  • 193.125.23.12 updates.sald.


Step 4


Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como TROJ_ZBOT.BGFEn caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Did this description help? Tell us how we did.