Backdoor.Hesive.C ¿Qué tipo de virus es este y cómo detectarlo?
%SYSTEM%\{RANDOM CHARS}.drv
%SYSTEM%\{RANDOM CHARS}.log
Nota: {RANDOM CHARS} representa una cadena de 8 caracteres aleatorios;
Análisis de comportamiento
1. Este es un virus PE con una longitud de 51.037 bytes;
2. crea el siguiente archivo:
%SYSTEM%\{RANDOM CHARS}.dll (archivo publicado, puerta trasera, detectado por Fortinet como W32/Hesive.C!tr)
%SYSTEM% \{RANDOM CHARS}.sys (rootkit lanzado, detectado por Fortinet como: W32/Hesive.C!tr.rootkit)
%SYSTEM%\{RANDOM CHARS}.drv (un Keylogger, detectado por Fortinet como: W32/PcClient.C-bdr)
%SYSTEM%\{RANDOM CHARS}.log (un archivo de texto que registra la entrada del teclado, inofensivo)
Nota: {RANDOM CHARS } representa una cadena de 8 caracteres aleatorios;
3. Inyectar en el proceso de Windows:
4 Cree las siguientes subclaves:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\. Services\{RANDOM CHARS}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOMCHARS}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOM CHARS }7. el servidor remoto http://222.56.52.192 e intente descargar el archivo (esta URL ha sido bloqueada).
Método de eliminación:
1. Ingrese al modo de seguridad y elimine lo siguiente; archivos:
%SYSTEM%\{RANDOM CHARS}.dll
%SYSTEM%\{RANDOM CHARS}.dll
%SYSTEM% \{RANDOM CHARS }. Elimine las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM_RANDOM CHARS}.MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOM CHARS}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Enum\RootLEGACY_{ CARACTERÍSTICAS ALEATORIAS}
.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{CHARS RANDOM}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters
p>"ServiceDLL"= "%SYSTEM%\{RANDOM CHARS}.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window
s\CurrentVersion\Run
"(Default)"="rundll32.exe %SYSTEM%\{RANDOM CHARS}.dll, Do98Work"
Se recomienda ejecutar antivirus software en modo seguro,