BKDR_DYRE.YYSPG
PWS:Win32/Dyzap.A (Microsoft), W32/Dyreza.LL!tr (Fortinet)
Windows
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.
Utiliza el Programador de tareas de Windows para agregar una tarea programada que ejecute las copias que infiltra.
Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.
Este malware se elimina tras la ejecución.
TECHNICAL DETAILS
Detalles de entrada
Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.
Instalación
Utiliza el Programador de tareas de Windows para agregar una tarea programada que ejecute las copias que infiltra.
Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:
- Global\u1nyj3rt20
Este malware inyecta códigos en el/los siguiente(s) proceso(s):
- firefox.exe
- iexplore.exe
- Microsoft Edge
- chrome.exe
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Receive configuration(web injects/MitB)
- Receive New connections
- Create Backdoor connection
- Download Module (vnc32, tv32, wg32, pn32, rdpp32, pdf32)
- Reboot Computer
- Create User Admin Account
- Wipe MBR, Drives C and D
- Browser Snapshot
- Download file and execute
- Create scheduled task to execute a file every minute
Robo de información
Su archivo de configuración contiene la siguiente información:
- List of strings related to banking/bitcoin
- Proxy address for the Man-in-the-middle attack
- List of new C&C server
Recopila los siguientes datos:
- Host Name
- Public IP Address
- Computer Name
- OS Version
- OS Platform
- User Accounts
- System Info(CPU, Memory, No. of Processors)
- Installed programs
- Services
Otros detalles
Este malware se elimina tras la ejecución.
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Reiniciar en modo seguro
Step 4
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como BKDR_DYRE.YYSPG En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Step 5
Eliminar las tareas programadas que ha añadido este malware/grayware/spyware
Para eliminar el archivo de la tarea programada:
- Haga clic en Inicio>Programas>Accesorios>Herramientas del sistema>Tareas programadas
- Haga doble clic en un archivo .JOB.
- Compruebe si el valor del campo Ejecutar: contiene el/los nombre(s) del/de los archivo(s) que se ha(n) eliminado anteriormente.
- Si es así, seleccione el archivo .JOB y, a continuación, pulse MAYÚS+SUPR para eliminar el archivo definitivamente.
- Repita los pasos del 2 al 4 para los archivos .JOB restantes.
Step 6
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como BKDR_DYRE.YYSPG En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Did this description help? Tell us how we did.