Analisado por: Pearl Charlaine Espejo   
 

Trojan.Win32.VBKryjetor.bjt (Kaspersky); Trojan.Agent.NNAGen (Malwarebytes); Trojan.Ransomlock.G (Symantec)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Löscht sich nach der Ausführung selbst.

  Detalhes técnicos

Tipo de compactação: 374,784 bytes
Tipo de arquivo: EXE
Data de recebimento das amostras iniciais: 18 maio 2015

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %ProgramData%\iexplore\{random filename}.exe (for Windows Vista and above)
  • %Program Files%\iexplore\{random filename}.exe (for Windows XP and below)

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Erstellt die folgenden Ordner:

  • %ProgramData%\iexplore (for Windows Vista and above)
  • %Program Files%\Common Files\iexplore (for Windows XP and below)

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
iexplore = "%Program Files%\Common Files\iexplore\{random filename}.exe" (for Windows XP and below)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
iexplore = "%Program Files%\Common Files\iexplore\{random filename}.exe" (for Windows XP and below)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
iexplore = "%ProgramData%\iexplore\{random filename}.exe" (for Windows Vista and above)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
iexplore = "%ProgramData%\iexplore\{random filename}.exe" (for Windows Vista and above)

Fügt die folgenden "Image File Execution Options"-Registrierungseinträge hinzu, um sich beim Starten bestimmter Anwendungen automatisch selbst auszuführen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random filename}.exe
DisableExceptionChainValidation =

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Win7zip

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
2500 = "3"

Andere Details

Löscht sich nach der Ausführung selbst.