Analisado por: Nikko Tamana   
 

Win32.SuspectCrc (Ikarus), Trj/Dropper.JUW (Panda), Trojan.Win32.Generic.pak!cobra (Sunbelt), Gen:Variant.Graftor.40591 (Bitdefender)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Verbindet sich mit bestimmten URLs. Dadurch kann ein böswilliger Benutzer extern über die Installation informiert werden. Es können auch möglicherweise bösartige Dateien auf den Computer heruntergeladen werden, so dass das Risiko einer Infektion durch andere Bedrohungen erhöht wird.

  Detalhes técnicos

Tipo de compactação: 40,960 bytes
Tipo de arquivo: EXE
Residente na memória: Não
Data de recebimento das amostras iniciais: 08 outubro 2012

Einschleusungsroutine

Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Download-Routine

Verbindet sich mit den folgenden bösartigen URLs:

  • http://{BLOCKED}e.{BLOCKED}p.kr/test/test.txt
  • http://{BLOCKED}e.{BLOCKED}eep.kr/121004/jach/Setup_jachget.exe
  • http://{BLOCKED}e.{BLOCKED}eep.kr/121004/jach/VaccineForce_blue2.exe

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %User Temp%\Setup_jachget.exe
  • %User Temp%\VaccineForce_blue2.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)