TROJ_BUNITU.YAY
Troj/Bunitu-L (Sophos) ,Trojan horse Proxy.BDLC (AVG) ,W32/Yakes.EZLE!tr (Fortinet) ,Trojan.Win32.Yakes.ezle (Kaspersky) ,TrojanProxy:Win32/Bunitu.F (Microsoft) ,RDN/Generic Proxy!i (McAfee) ,a variant of Win32/TrojanProxy.Agent.NWT trojan (Eset) ,Trojan.Win32.Generic!BT (Sunbelt)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Puede haberlo infiltrado otro malware.
TECHNICAL DETAILS
Detalles de entrada
Puede haberlo infiltrado otro malware.
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_VERSION\Software\Windows\
CurrentVersion\Run
{File Name} = "rundll32 "{Malware Path and File name}",{File Name}"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{File Name}
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{File Name}
Impersonate = "1"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{File Name}
"Asynchronous" = "1"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{File Name}
MaxWait = "1"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{File Name}
DllName = "{Malware Path and File name}"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{File Name}
Startup = "{File Name}"
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
List
{Malware Path and File name} = "{Malware Path and File name}:*:Enabled:{File Name}"