POISONIVY

Installation

Schleust die folgenden Dateien ein:

• %System Root%\asf
• %Application Data%\2019\BG.bat.lnk
• %Application Data%\2019\Pr0c3xp.lnk
• %Application Data%\2019\Tcpview.lnk

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\2019\svchost .exe
• %User Profile%\Local Settings\FastUserSwitchingCompatibility.exe
• %System%\2019\svchost .exe
• %User Startup%\wuauclt.exe
• {malware path}\{malware name}.exe
• %System%:netmansykey.exe - Alternate Data Stream (ADS) copy
• %System%:sysfilevpn.exe - Alternate Data Stream (ADS) copy
• %System%:GoogleLive.exe - Alternate Data Stream (ADS) copy
• %System%:systemPErro.exe - Alternate Data Stream (ADS) copy
• %System%:mcarmy.exe - Alternate Data Stream (ADS) copy
• %System%:msfullcomen.exe - Alternate Data Stream (ADS) copy
• %System%:msjbvpncon.exe - Alternate Data Stream (ADS) copy
• %System%:mskeypro.exe - Alternate Data Stream (ADS) copy
• %System%:mssendfull.exe - Alternate Data Stream (ADS) copy

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Erstellt die folgenden Ordner:

• %System Root%\dfed
• %Application Data%\2019
• %System%\2019

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
adobe = "{malware path}\{malware name}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Google LiveUpdates = "%System%:GoogleLive.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
FastUserSwitchingCompatibility = "%User Profile%\Local Settings\FastUserSwitchingCompatibility.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{6E9647F9-B5DB-BD95-B627-79E92947CF09}
StubPath = "%System%:netmansykey.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{0082ABF9-9309-614B-C2DD-C00CC33A8073}
StubPath = "%System%:mssendfull.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{9E41174A-B99F-F49D-5CD0-0EF87DF3A162}
StubPath = "%System%:msjbvpncon.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{2580E7A2-880C-351F-B4DC-8320A4AB551C}
StubPath = "%System%:mskeypro.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{343F94C0-7BF8-95A0-9892-DE5C539F2AF8}
StubPath = "%System%:msfullcomen.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{180DA249-E241-D1EA-A5D6-E400EFEC204F}
StubPath = "%System%:mcarmy.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{014B0426-0DD3-D064-ED11-840B72A6498C
StubPath = "%System%:sysfilevpn.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{107D84CE-A965-12B5-A884-16BB63414DF0}
StubPath = "%System%:systemPErro.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
Recent File List

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
Settings

HKEY_CURRENT_USER\Software\ations

HKEY_CURRENT_USER\Software\ations\
Recent File List

HKEY_CURRENT_USER\Software\ations\
Settings

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders
Startup = "%System%\2019"

(Note: The default value data of the said registry entry is %User Startup%.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
User Shell Folders
Startup = "%System%\2019"

(Note: The default value data of the said registry entry is %User Startup%.)