Red de conocimiento informático - Computadora portátil - Backdoor.Hesive.C ¿Qué tipo de virus es este y cómo detectarlo?

Backdoor.Hesive.C ¿Qué tipo de virus es este y cómo detectarlo?

RANDOM CHARS}.sys

%SYSTEM%\{RANDOM CHARS}.drv

%SYSTEM%\{RANDOM CHARS}.log

Nota: {RANDOM CHARS} representa una cadena de 8 caracteres aleatorios;

Análisis de comportamiento

1. Este es un virus PE con una longitud de 51.037 bytes;

2. crea el siguiente archivo:

%SYSTEM%\{RANDOM CHARS}.dll (archivo publicado, puerta trasera, detectado por Fortinet como W32/Hesive.C!tr)

%SYSTEM% \{RANDOM CHARS}.sys (rootkit lanzado, detectado por Fortinet como: W32/Hesive.C!tr.rootkit)

%SYSTEM%\{RANDOM CHARS}.drv (un Keylogger, detectado por Fortinet como: W32/PcClient.C-bdr)

%SYSTEM%\{RANDOM CHARS}.log (un archivo de texto que registra la entrada del teclado, inofensivo)

Nota: {RANDOM CHARS } representa una cadena de 8 caracteres aleatorios;

3. Inyectar en el proceso de Windows:

4 Cree las siguientes subclaves:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\. Services\{RANDOM CHARS}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOMCHARS}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOM CHARS }7. el servidor remoto http://222.56.52.192 e intente descargar el archivo (esta URL ha sido bloqueada).

Método de eliminación:

1. Ingrese al modo de seguridad y elimine lo siguiente; archivos:

%SYSTEM%\{RANDOM CHARS}.dll

%SYSTEM%\{RANDOM CHARS}.dll

%SYSTEM% \{RANDOM CHARS }. Elimine las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM_RANDOM CHARS}.MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOM CHARS}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Enum\RootLEGACY_{ CARACTERÍSTICAS ALEATORIAS}

.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{CHARS RANDOM}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters

p>

"ServiceDLL"= "%SYSTEM%\{RANDOM CHARS}.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window

s\CurrentVersion\Run

"(Default)"="rundll32.exe %SYSTEM%\{RANDOM CHARS}.dll, Do98Work"

Se recomienda ejecutar antivirus software en modo seguro,