Author: Kathleen Notario   
 PLATFORM:

Windows 98, ME, NT, 2000, XP, Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

Llega como archivo que exporta las funciones de otro malware/grayware/spyware. Puede haberlo infiltrado otro malware.

  TECHNICAL DETAILS

File size: 203,815 bytes
File type: DLL
Memory resident: No
INITIAL SAMPLES RECEIVED DATE: 05 августа 2010
PAYLOAD: Drops files

Detalles de entrada

Llega como archivo que exporta las funciones de otro malware/grayware/spyware.

Puede haberlo infiltrado otro malware.

Instalación

Agrega las carpetas siguientes:

  • %Program Files%\Win32Games

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\
Shell\ÊôÐÔ(&D)
=

HKEY_CURRENT_USER\Software\internet explorer
=

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
HideDesktopIcons\NewStartPanel
=

Agrega las siguientes entradas de registro:

HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
{305ca226-d286-468e-b848-2b2e8e697b74} 2 = 0

HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\
Shell\Open\Command
(default) = %Program Files%\Internet Explorer\SIGNUP\iexplore.exe %1 h%t%t%p%:%/%/%w%w%w.6dudu.%c%o%m%/

Rutina de infiltración

Infiltra los archivos siguientes:

  • %System%\helpme.vbs - detected as VBS_STARTPA.ZZD
  • %System%\helpme.ink
  • %Desktop%\Intenet Exploer.ink
  • %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.ink
  • %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Intenet Exploer.ink
  • %Program Files%\Win32Games\Internet.vbs
  • %Program Files%\Internet Explorer\SIGNUP\iexplore.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

  SOLUTION

Minimum scan engine: 8.900
VSAPI OPR PATTERN-VERSION: 7.364.07
VSAPI OPR PATTERN DATE: 05 de августа de 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como TROJ_STARTPA.TE

Step 3

Reiniciar en modo seguro

[ learnMore ]

Step 4

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

 
  • In HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
    • {305ca226-d286-468e-b848-2b2e8e697b74} 2=0
  • In HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\Shell\Open\Command
    • (default)=%Program Files%\Internet Explorer\SIGNUP\iexplore.exe %1 h%t%t%p%:%/%/%w%w%w.6dudu.%c%o%m%/

Step 5

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\Shell
    • ÊôÐÔ(&D)
  • In HKEY_CURRENT_USER\Software
    • internet explorer
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons
    • NewStartPanel

Step 6

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción "Más opciones avanzadas" para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos. %System%\helpme.vbs
%System%\helpme.ink
%Desktop%\Intenet Exploer.ink
%User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.ink
%User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Intenet Exploer.ink
%Program Files%\Internet Explorer\SIGNUP\iexplore.exe


Did this description help? Tell us how we did.