Analisado por: Mc Justine De Guzman   
 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Impacto no sistema: :
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Potentially Unwanted Application

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Detalhes técnicos

Tipo de compactação: 10,009,088 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 14 abril 2021

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

  • %User Temp%\~{Random Characters}.inf
  • {Malware Path}\~{Random Characters}.tmp
  • %Desktop%\常用网址导航.lnk -> redirects to http://www.{BLOCKED}.com/?zm
  • %User Temp%\{Random Characters}.bat -> checks for TCP connection, then deletes {Malware Path}\~{Random Characters}.tmp and itself
  • %User Temp%\{Random Characters}.exe -> deleted afterwards

Fügt die folgenden Prozesse hinzu:

  • {Malware Path}\{Malware Filename}.exe /nstart
  • %User Temp%\{Random Characters}.exe /HomeRegAccess10
  • Rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %User Temp%\~{Random Characters}.inf
  • cmd /c %User Temp%\{Random Characters}.bat

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\
safemon\userset
hp = http://www.{BLOCKED}.com/?{Random numbers}

HKEY_LOCAL_MACHINE\SOFTWARE\Baidu\
BaiduProtect\LockIEStartPage
Start Page = http://www.{BLOCKED}.com/?{Random numbers}

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
PromptOnSecureDesktop = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\MAIN
Start Page = http://www.{BLOCKED}.com/?{Random number}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\MAIN
Default_Page_URL = http://www.{BLOCKED}.com/?{Random number}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\MAIN
First Home Page = http://www.{BLOCKED}.com/?{Random number}

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = http://www.{BLOCKED}.com/?{Random number}

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Default_Page_URL = http://www.{BLOCKED}.com/?{Random number}

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
First Home Page = http://www.{BLOCKED}.com/?{Random number}

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Internet Explorer\Main
Start Page = http://www.{BLOCKED}.com/?{Random number}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Internet Explorer\Main
Start Page = http://www.{BLOCKED}.com/?{Random number}

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

  • Connects to the following malicious URL:
    • http://yun.u{BLOCKED}g.com/ns
    • http://yun.u{BLOCKED}g.com/nys

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Baidu

HKEY_LOCAL_MACHINE\SOFTWARE\Baidu\
BaiduProtect

HKEY_LOCAL_MACHINE\SOFTWARE\Baidu\
BaiduProtect\LockIEStartPage

HKEY_LOCAL_MACHINE\SOFTWARE\360Safe

HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\
safemon

HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\
safemon\userset

Es macht Folgendes:

  • It requires to be executed with administrative rights to proceed to its malicious routine
  • It erases all the content of the %System%\drivers\etc\hosts file
  • It deletes all the files found in the %Favorites% directory
  • It adds the following possibly unwanted favorites on the IE Favorites bar:
    • %Favorites%\百度一下.url
    • %Favorites%\链接\百度一下.url
    • %Favorites%\links\百度一下.url
    • %Favorites%\网址导航.url
    • %Favorites%\链接\网址导航.url
    • %Favorites%\links\网址导航.url
    • %Favorites%\淘宝网.url
    • %Favorites%\链接\淘宝网.url
    • %Favorites%\links\淘宝网.url
    • %Favorites%\京东商城.url
    • %Favorites%\链接\京东商城.url
    • %Favorites%\links\京东商城.url
    • %Favorites%\天猫精选.url
    • %Favorites%\链接\天猫精选.url
    • %Favorites%\links\天猫精选.url
    • %Favorites%\拼多多.url
    • %Favorites%\链接\拼多多.url
    • %Favorites%\links\拼多多.url
    • %Favorites%\购物导航.url
    • %Favorites%\链接\购物导航.url
    • %Favorites%\links\购物导航.url
    • %Favorites%\携程网.url
    • %Favorites%\链接\携程网.url
    • %Favorites%\links\携程网.url
    • %Favorites%\网页游戏.url
    • %Favorites%\链接\网页游戏.url
    • %Favorites%\links\网页游戏.url
    • %Favorites%\游戏加速.url
    • %Favorites%\链接\游戏加速.url
    • %Favorites%\links\游戏加速.url

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).. %Favorites%ist der Ordner 'Favoriten' für den aktuellen Benutzer, normalerweise C:\Windows\Favoriten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Favoriten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Favoriten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\Favorites on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

  Solução

Mecanismo de varredura mínima: 9.800
SSAPI Pattern File: 2.400.10
SSAPI Pattern Release Date: 21 abril 2021

Step 2

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>

Step 4

Diese Datei suchen und löschen

[ Saber mais ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.
  • %Desktop%\常用网址导航.lnk
  • %User Temp%\~{Random Characters}.inf

Step 5

Diesen geänderten Registrierungswert wiederherstellen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • ConsentPromptBehaviorAdmin = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • PromptOnSecureDesktop = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • EnableLUA = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    • DisableAntiSpyware = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN
    • Start Page = http://www.136738.com/?{Random number}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN
    • Default_Page_URL = http://www.136738.com/?{Random number}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN
    • First Home Page = http://www.136738.com/?{Random Number}
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    • Start Page = http://www.136738.com/?{Random Number}
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    • Default_Page_URL = http://www.136738.com/?{Random Number}
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    • First Home Page = http://www.136738.com/?{Random Number}
  • In HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main
    • Start Page = http://www.136738.com/?{Random Number}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main
    • Start Page = http://www.136738.com/?{Random Number}

Step 6

Diesen Registrierungswert löschen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\userset
    • hp = http://www.136738.com/?{Random numbers}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Baidu\BaiduProtect\LockIEStartPage
    • Start Page = http://www.136738.com/?{Random numbers}

Step 7

Diesen Registrierungsschlüssel löschen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Baidu
    • HKEY_LOCAL_MACHINE\SOFTWARE\Baidu\BaiduProtect
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Baidu\BaiduProtect\LockIEStartPage
    • HKEY_LOCAL_MACHINE\SOFTWARE\360Safe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
    • HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\userset

Step 8

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als PUA.Win32.OCCAMY.AA entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Participe da nossa pesquisa!