Como era de esperarse, para mantenerse en actividad tuvieron que realizar unos cambios mas drásticos que los anteriores:
-Nuevo dominio de conexión: aschex.rr.nu al mismo puerto que las versiones anteriores (27034), ahora la contraseña de sesión es “aaa”.
-El dominio que envía los mensajes aaa.5268.com, los nombres mas actualizados de los archivos de infección son: “hi5.exe” y “carts.exe”.
-También cambiaron la clave de registro que utiliza para autoejecutarse cuando reinicia el sistema, ahora es: “Java Update”, por lo tanto es script anterior queda obsoleto.
-Nuevo nombre del proceso en ejecución: “wms.exe”. La carpeta donde se almacena el archivo para autoarranque sigue siendo la misma.
El nuevo script para desinfectar sería el siguiente:
@echo off
echo Eliminando archivo copiado locamente
rmdir /s /q %TEMP%\IXP000.TMP
rmdir /s /q %TEMP%\IXP001.TMP
rmdir /s /q %TEMP%\IXP002.TMP
rmdir /s /q %TEMP%\IXP003.TMP
echo Eliminando la clave del registro
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v "Java Update"
Pocos antivirus detectan las últimas versiones, acabo de subir un “hi5.exe” a virustotal y tan solo 2 lo detectan como troyano.
No hay comentarios:
Publicar un comentario