BKDR_TDSS.JES
Trojan-Dropper.Win32.TDSS.azpl (Kaspersky), W32/TDSS.AZPL!tr (Fortinet)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Modifica la configuración de seguridad de Internet Explorer. Esto pone en gran peligro el equipo afectado, puesto que permite que acceda a URL maliciosas.
TECHNICAL DETAILS
Instalación
Este malware inyecta subprocesos en el/los siguiente(s) proceso(s) normal(es):
- svchost.exe -k netsvcs
Este malware inyecta códigos en el/los siguiente(s) proceso(s):
- explorer.exe
- iexplore.exe
Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000
Legacy = dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000
ConfigFlags = dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000
Class = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000
DeviceDesc = "{random hex value}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000
Service = "{random hex value}"
Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Extensions\
CmdMapping
{CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} = "2002"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Extensions\
CmdMapping
{e2e2dd38-d088-4134-82b7-f2ba38496583} = "2003"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Extensions\
CmdMapping
{FB5F1910-F110-11d2-BB9E-00C04F795683} = "2004"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Extensions\
CmdMapping
NextId = "2005"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\International
AcceptLanguage = "en-US"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Security\
P3Global
Enabled = "1"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Display Inline Images = "yes"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Enable Browser Extensions = "no"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Play_Background_Sounds = "no"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Play_Animations = "no"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Enable AutoImageResize = "no"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
EnableAlternativeCodec = "no"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
UseSWRender = "1"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
PlaySounds = "0"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Error Dlg Displayed On Every Error = "no"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
DisableScriptDebuggerIE = "no"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Friendly http errors = "no"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
FeatureControl\FEATURE_BLOCK_INPUT_PROMPTS
iexplore.exe = "1"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
FeatureControl\FEATURE_BROWSER_EMULATION
iexplore.exe = "1770"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
FeatureControl\FEATURE_GPU_RENDERING
iexplore.exe = "1"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
FeatureControl\FEATURE_MAXCONNECTIONSPER1_0SERVER
iexplore.exe = "10"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
FeatureControl\FEATURE_MAXCONNECTIONSPERSERVER
iexplore.exe = "10"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
FeatureControl\FEATURE_WARN_ON_SEC_CERT_REV_FAILED
iexplore.exe = "0"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
GlobalUserOffline = "0"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
CertificateRevocation = "0"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
WarnOnBadCertRecving = "0"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
WarnOnPost = "0"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
WarnOnPostRedirect = "0"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
WarnOnZoneCrossing = "0"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
ServerInfoTimeout = "927c0"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
KeepAliveTimeout = "124f80"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
ReceiveTimeout = "124f80"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
EnableHttp1_1 = "1"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
MaxHttpRedirects = "32"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
ConnectRetries = "14"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
MaxConnectionsPerServer = "10"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
MaxConnectionsPer1_0Server = "10"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Extensions\
CmdMapping
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} = "2000"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Extensions\
CmdMapping
{92780B25-18CC-41C8-B9BE-3C9C571A8263} = "2001"
Modifica las siguientes entradas de registro:
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Disable Script Debugger = "no"
(Note: The default value data of the said registry entry is yes.)
Modificación de la página de inicio y de la página de búsqueda del explorador Web
Agrega las siguientes entradas y líneas al archivo SYSTEM.INI para permitir su ejecución automática cada vez que se inicia el sistema: $$DATA$$
Rutina de descarga
Accede a los siguientes sitios Web para descargar archivos:
- http://{BLOCKED}nload.{BLOCKED}e.com/bin/install_flashplayer11x32_chrd_aih.exe - legitimate file (Adobe Flash Player installer)
Guarda los archivos que descarga con los nombres siguientes:
- %AppDataLocal%\install_flashplayer.exe - legitimate file (Adobe Flash Player installer)
Robo de información
Recopila los siguientes datos:
- OS version
- Build
- Service Pack version
- Processor Architecture
Información sustraída
Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:
- {BLOCKED}.{BLOCKED}.57.42:555/{random values}/start/{OS Version}_{Build}_{Service Pack Version}_{Processor Architecture}/9099
- {BLOCKED}.{BLOCKED}.57.42:555/{random values}/install/{OS Version}_{Build}_{Service Pack Version}_{Processor Architecture}/9099
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Elimine los archivos de malware que se han introducido/descargado mediante BKDR_TDSS.JES
- TROJ_TDSS.BSS
- TROJ64_TDSS.BSS
- RTKT_TDSS.BTE
- RTKT64_TDSS.BTE
- BKDR64_TDSS.JES
- TROJ64_TDSS.JES
Step 4
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
- LEGACY_{random hex value}
- LEGACY_{random hex value}
Step 5
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
- {898EA8C8-E7FF-479B-8935-AEC46303B9E5} = "2000"
- {898EA8C8-E7FF-479B-8935-AEC46303B9E5} = "2000"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
- {92780B25-18CC-41C8-B9BE-3C9C571A8263} = "2001"
- {92780B25-18CC-41C8-B9BE-3C9C571A8263} = "2001"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
- {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} = "2002"
- {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} = "2002"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
- {e2e2dd38-d088-4134-82b7-f2ba38496583} = "2003"
- {e2e2dd38-d088-4134-82b7-f2ba38496583} = "2003"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
- {FB5F1910-F110-11d2-BB9E-00C04F795683} = "2004"
- {FB5F1910-F110-11d2-BB9E-00C04F795683} = "2004"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
- NextId = "2005"
- NextId = "2005"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\International
- AcceptLanguage = "en-US"
- AcceptLanguage = "en-US"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Security\P3Global
- Enabled = "1"
- Enabled = "1"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
- Display Inline Images = "yes"
- Display Inline Images = "yes"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
- Enable Browser Extensions = "no"
- Enable Browser Extensions = "no"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
- Play_Background_Sounds = "no"
- Play_Background_Sounds = "no"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
- Play_Animations = "no"
- Play_Animations = "no"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
- Enable AutoImageResize = "no"
- Enable AutoImageResize = "no"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
- EnableAlternativeCodec = "no"
- EnableAlternativeCodec = "no"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
- UseSWRender = "1"
- UseSWRender = "1"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
- PlaySounds = "0"
- PlaySounds = "0"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
- Error Dlg Displayed On Every Error = "no"
- Error Dlg Displayed On Every Error = "no"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
- DisableScriptDebuggerIE = "no"
- DisableScriptDebuggerIE = "no"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
- Friendly http errors = "no"
- Friendly http errors = "no"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_INPUT_PROMPTS
- iexplore.exe = "1"
- iexplore.exe = "1"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION
- iexplore.exe = "1770"
- iexplore.exe = "1770"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING
- iexplore.exe = "1"
- iexplore.exe = "1"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_MAXCONNECTIONSPER1_0SERVER
- iexplore.exe = "10"
- iexplore.exe = "10"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_MAXCONNECTIONSPERSERVER
- iexplore.exe = "10"
- iexplore.exe = "10"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_WARN_ON_SEC_CERT_REV_FAILED
- iexplore.exe = "0"
- iexplore.exe = "0"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- GlobalUserOffline = "0"
- GlobalUserOffline = "0"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- CertificateRevocation = "0"
- CertificateRevocation = "0"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- WarnOnBadCertRecving = "0"
- WarnOnBadCertRecving = "0"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- WarnOnPost = "0"
- WarnOnPost = "0"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- WarnOnPostRedirect = "0"
- WarnOnPostRedirect = "0"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- WarnOnZoneCrossing = "0"
- WarnOnZoneCrossing = "0"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- ServerInfoTimeout = "927c0"
- ServerInfoTimeout = "927c0"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- KeepAliveTimeout = "124f80"
- KeepAliveTimeout = "124f80"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- ReceiveTimeout = "124f80"
- ReceiveTimeout = "124f80"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- EnableHttp1_1 = "1"
- EnableHttp1_1 = "1"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- MaxHttpRedirects = "32"
- MaxHttpRedirects = "32"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- ConnectRetries = "14"
- ConnectRetries = "14"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- MaxConnectionsPerServer = "10"
- MaxConnectionsPerServer = "10"
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- MaxConnectionsPer1_0Server = "10"
- MaxConnectionsPer1_0Server = "10"
Step 6
Restaurar este valor del Registro modificado
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
- From: Disable Script Debugger = "no"
To: Disable Script Debugger = yes
- From: Disable Script Debugger = "no"
Step 7
Restablecer la configuración de seguridad de Internet
Step 8
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como BKDR_TDSS.JES En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Did this description help? Tell us how we did.