Analisado por: Neljorn Nathaniel Aguas   
 

PUA/OfferCore.Gen (ANTIVIR)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Potentially Unwanted Application

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim


  Detalhes técnicos

Tipo de compactação: 1,734,816 bytes
Tipo de arquivo: EXE
Residente na memória: Não
Data de recebimento das amostras iniciais: 31 agosto 2023
Carga útil: Connects to URLs/IPs, Drops files

Installation

Schleust die folgenden Dateien ein:

  • %User Temp%\is-{Random Characters 1}.tmp\{Malware File Name}.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 2}.tmp\is-{Random Characters 3}.tmp → Renamed afterwards to file_.exe
  • %User Temp%\is-{Random Characters 4}.tmp\file_.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 5}.tmp\botva2.dll → Deleted afterwards
  • %User Temp%\is-{Random Characters 5}.tmp\Helper.dll → Deleted afterwards

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

  • "%User Temp%\is-{Random Characters 1}.tmp\{Malware File Name}.tmp" /SL5="$1F05E8,831488,831488,{Malware Path}\{Malware File Name}.exe"
  • "%User Temp%\is-{Random Characters 2}.tmp\file_.exe" /LANG=en /NA=Rh85hR64
  • "%User Temp%\is-{Random Characters 4}.tmp\file_.tmp" /SL5="$2F05AA,1559708,780800,%User Temp%\is-{Random Characters 2}.tmp\file_.exe" /LANG=en /NA=Rh85hR64

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Erstellt die folgenden Ordner:

  • %User Temp%\is-{Random Characters 1}.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 2}.tmp
  • %User Temp%\is-{Random Characters 2}.tmp\_isetup
  • %User Temp%\is-{Random Characters 4}.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 5}.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 5}.tmp\_isetup → Deleted afterwards

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
Owner = {Hex Values}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
SessionHash = {Hex Values}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
Sequence = 1

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0001
Owner = {Hex Values} → Deleted afterwards

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0001
SessionHash = {Hex Values} → Deleted afterwards

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0001
Sequence = 1 → Deleted afterwards

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
{Hash Value}
Blob = {Hex Values}

Andere Details

It connects to the following possibly malicious URL:

  • http://{BLOCKED}9k18f2wb.cloudfront.net
  • http://{BLOCKED}ha0gj0a4.cloudfront.net