TSPY_EMOTET.THAOIAN
Windows
Threat Type:
Trojan Spy
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.
TECHNICAL DETAILS
Detalles de entrada
Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %AppDataLocal%\Microsoft\Windows\{string 1}{string 2}.exe - drops the file here if it has no admin privileges
- %System%\{string 1}{string 2}.exe - drops the file here if it has admin privileges
where {string 1} and {string 2} is a combination of any of the following strings:- agent
- app
- audio
- bio
- bits
- cache
- card
- cart
- cert
- com
- crypt
- dcom
- defrag
- device
- dhcp
- dns
- event
- evt
- flt
- gdi
- group
- help
- home
- host
- info
- iso
- launch
- log
- logon
- lookup
- man
- math
- mgmt
- msi
- ncb
- net
- nv
- nvidia
- proc
- prop
- prov
- provider
- reg
- rpc
- screen
- search
- sec
- server
- service
- shed
- shedule
- spec
- srv
- storage
- svc
- sys
- system
- task
- time
- video
- view
- win
- window
- wlan
- wmi
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{string 1}{string 2}
ImagePath = "%System%\{string 1}{string 2}.exe" if it has admin privileges
where {string 1} and {string 2} is the same name as the drop file
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string 1}{string 2} = "%AppDataLocal%\Microsoft\Windows\{string 1}{string 2}.exe" if it has no admin privileges