Trojan.MSIL.RAWLD.THBOFBD
VHO:Backdoor.MSIL.Agent.gen (KASPERSKY); Trojan:MSIL/Marsilia.NA!MTB (MICROSOFT)
Windows
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
TECHNICAL DETAILS
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Instalación
Infiltra los archivos siguientes:
- %Windows%\Help\Stage3.exe
- {Malware Path}\log\Stage2{yyyy-MM-dd}.bin
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Agrega los procesos siguientes:
- If the machine is not in Safe Mode and neither "%Windows%\Help\Finish.exe" nor "%Windows%\Help\Exclude.exe" exists:
- "cmd" /c start %Windows%\Help\Stage3.exe
- If the machine is in SafeMode but either "%Windows%\Help\Finish.exe" or "%Windows%\Help\Exclude.exe" exists:
- "cmd" /c del %Windows%\Help\Stage3.exe
- "cmd" /c del %Windows%\Help\Pay.txt
- "sc" delete MSOfficeRunOncelsls
- "reg" delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSOfficeRunOncelsls" /f
- "cmd" /c start ping 127.0.0.1 -n 10 && cmd /c del %Windows%\Help\Stage2.exe && cmd /c shutdown -r -f -t 00
- "shutdown" -r -f -t 00
- If the machine is not in Safe Mode and neither "%Windows%\Help\Finish.exe" nor "%Windows%\Help\Exclude.exe" exists:
- "sc" create MSOfficeRunOncelsls binpath= %Windows%\Help\Stage2.exe start= auto displayname= MSOfficeRunOncelsls
- "reg" add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSOfficeRunOncelsls" /t REG_SZ /d Service /f
- "shutdown" -r -f -t 00
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Crea las carpetas siguientes:
- {Malware Path}\log
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network\
MSOfficeRunOncelsls
(default) = Service
Agrega las siguientes claves de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network\
MSOfficeRunOncelsls
Elimina las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network\
MSOfficeRunOncelsls
Otros detalles
Hace lo siguiente:
- It configures the Boot Configuration Data (BCD) to:
- enable safe boot option with networking
- disable safe boot option
- It checks for the following files to determine prior compromise or the exclusion of the machine from infection:
- %Windows%\Help\Finish.exe
- %Windows%\Help\Exclude.exe
- It creates a log file if any error is encountered during execution.
- It performs different actions depending on the result of system and file checks:
- If executed in Safe Mode and passed the file verification:
- It decrypts the contents of the file %Windows%\Help\Pay.txt using a hard-coded decryption key.
- The decrypted content is saved as %Windows%\Help\Stage3.exe and executed.
- If executed in Safe Mode but did not pass the file verification:
- It disables the Safe Boot option, deletes malware remnants, and reboots the machine.
- If not executed in Safe Mode and passed the file verification:
- It enables the Safe Boot with Networking, creates a service, adds a registry key, and reboots the machine.
- If executed in Safe Mode and passed the file verification:
- It adds the following service:
- Name: MSOfficeRunOncelsls
- Start Type: Autostart
- Binary Path: %Windows%\Help\Stage2.exe
- It deletes the following service:
- MSOfficeRunOncelsls
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)
SOLUTION
Step 2
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.
Step 4
Desactivar este servicio de malware
-
- MSOfficeRunOncelsls
Step 5
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\MSOfficeRunOncelsls
Step 6
Buscar y eliminar este archivo
- %Windows%\Help\Stage3.exe
- {Malware Path}\log\Stage2{yyyy-MM-dd}.bin
Step 7
Buscar y eliminar estas carpetas
- {Malware Path}\log
Step 8
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como Trojan.MSIL.RAWLD.THBOFBD En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Did this description help? Tell us how we did.