Trojan.Win32.REDOSDRU.R06CC0DK922

INFECTION CHANNEL: Descargado de Internet, Eliminado por otro tipo de malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

File size: 147,968 bytes

File type: EXE

Memory resident: Yes

INITIAL SAMPLES RECEIVED DATE: 17 de ноября de 2022

PAYLOAD: Modifies system registry, Drops files

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Agrega los procesos siguientes:

netsh ipsec static add policy name=Block
netsh ipsec static add filterlist name=Filter1
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP
netsh ipsec static add filteraction name=FilteraAtion1 action=block
netsh ipsec static add rule name=Rule1 policy=Block filterlist=Filter1 filteraction=FilteraAtion1
netsh ipsec static set policy name=Block assign=y

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTeM\ControlSet001\
Control\Print\Monitors\
RunDllexe
Driver = %Windows%\Logs\RunDllexe.dll

HKEY_LOCAL_MACHINE\SYSTeM\ControlSet001\
services\Spooler
RequiredPrivileges = SeTcbPrivilege, SeImpersonatePrivilege, SeAuditPrivilege, SeChangeNotifyPrivilege, SeAssignPrimaryTokenPrivilege, SeLoadDriverPrivilege, SeShutdownPrivilege

HKEY_LOCAL_MACHINE\SOFTWARe\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

HKEY_LOCAL_MACHINE\SYSTeM\ControlSet001\
services\IPSec
OperationMode = 3

Rutina de infiltración

Infiltra los archivos siguientes:

%Windows%\Logs\RunDllexe.dll

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Otros detalles

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SYSTeM\ControlSet001\
Control\Print\Monitors\
RunDllexe

HKEY_LOCAL_MACHINE\SOFTWARe\Policies\
Microsoft\Windows Defender

HKEY_LOCAL_MACHINE\SYSTeM\ControlSet001\
services\IPSec

HKEY_LOCAL_MACHINE\SOFTWARe\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecISAKMPPolicy{672781c6-7465-4ac1-bcaa-e46cba9af8cd}

HKEY_LOCAL_MACHINE\SOFTWARe\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecNegotiationPolicy{b5ca1cd5-5962-406e-bdbd-e783cb6d6c01}

HKEY_LOCAL_MACHINE\SOFTWARe\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecPolicy{1b16bd2e-1223-407a-9114-3b1bc29d56bf}

HKEY_LOCAL_MACHINE\SOFTWARe\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecNFA{3f236750-ca85-49cd-ae64-6c08811fa501}

HKEY_LOCAL_MACHINE\SOFTWARe\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecFilter{df7a0791-2ab6-4b97-8fcd-2150833f79b8}

HKEY_LOCAL_MACHINE\SOFTWARe\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecNegotiationPolicy{64b27596-41ab-454b-b883-a1581a22f083}

HKEY_LOCAL_MACHINE\SOFTWARe\Policies\
Microsoft\Windows\IPSec\
Policy\Local\ipsecNFA{986b98eb-f87e-478d-ae29-ca3155b908fc}

Minimum scan engine: 9.800

First VSAPI Pattern File: 17.954.01

First VSAPI Pattern Release Date: 23 de ноября de 2022

VSAPI OPR PATTERN-VERSION: 17.955.00

VSAPI OPR PATTERN DATE: 24 de ноября de 2022

Step 2

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 3

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 4

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_LOCAL_MACHINE\SYSTeM\ControlSet001\Control\Print\Monitors\RunDllexe
- Driver = %Windows%\Logs\RunDllexe.dll
In HKEY_LOCAL_MACHINE\SYSTeM\ControlSet001\services\Spooler
- RequiredPrivileges = SeTcbPrivilege, SeImpersonatePrivilege, SeAuditPrivilege, SeChangeNotifyPrivilege, SeAssignPrimaryTokenPrivilege, SeLoadDriverPrivilege, SeShutdownPrivilege
In HKEY_LOCAL_MACHINE\SOFTWARe\Policies\Microsoft\Windows Defender
- DisableAntiSpyware = 1
In HKEY_LOCAL_MACHINE\SYSTeM\ControlSet001\services\IPSec
- OperationMode = 3

Step 5

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_LOCAL_MACHINE\SYSTeM\ControlSet001\Control\Print\Monitors\RunDllexe
In HKEY_LOCAL_MACHINE\SOFTWARe\Policies\Microsoft\Windows Defender
In HKEY_LOCAL_MACHINE\SOFTWARe\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecISAKMPPolicy{672781c6-7465-4ac1-bcaa-e46cba9af8cd}
In HKEY_LOCAL_MACHINE\SOFTWARe\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecNegotiationPolicy{b5ca1cd5-5962-406e-bdbd-e783cb6d6c01}
In HKEY_LOCAL_MACHINE\SOFTWARe\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{1b16bd2e-1223-407a-9114-3b1bc29d56bf}
In HKEY_LOCAL_MACHINE\SOFTWARe\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecNFA{3f236750-ca85-49cd-ae64-6c08811fa501}
In HKEY_LOCAL_MACHINE\SOFTWARe\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecFilter{df7a0791-2ab6-4b97-8fcd-2150833f79b8}
In HKEY_LOCAL_MACHINE\SOFTWARe\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecNegotiationPolicy{64b27596-41ab-454b-b883-a1581a22f083}
In HKEY_LOCAL_MACHINE\SOFTWARe\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecNFA{986b98eb-f87e-478d-ae29-ca3155b908fc}
In HKEY_LOCAL_MACHINE\SYSTeM\ControlSet001\services\IPSec

Step 6

Buscar y eliminar este archivo

[ learnMore ]

Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.

%Windows%\Logs\RunDllexe.dll

Step 7

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como Trojan.Win32.REDOSDRU.R06CC0DK922 En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Did this description help? Tell us how we did.

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Ресурсы

Поддержка

О компании Trend

Trojan.Win32.REDOSDRU.R06CC0DK922

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Ресурсы

Поддержка

О компании Trend

Северная и Южная Америка

Ближний Восток и Африка

Европа

Азиатско-Тихоокеанский регион