TROJ_OPIEX.A

Diese Malware hat keine Dateiinfektionsroutine.

Diese Malware hat keine Backdoor-Routine.

Verbindet sich mit bestimmten URLs. Dadurch kann ein böswilliger Benutzer extern über die Installation informiert werden. Es können auch möglicherweise bösartige Dateien auf den Computer heruntergeladen werden, so dass das Risiko einer Infektion durch andere Bedrohungen erhöht wird. Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Beendet sich selbst, falls festgestellt wird, dass die Ausführung in einer virtuellen Umgebung erfolgt.

Infektionspunkte

Diese Malware hat keine Dateiinfektionsroutine.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %All Users Profile%\explorer.exe

Fügt die folgenden Prozesse hinzu:

• upnpcont.exe <- if 64bit
• lsass.exe <- if 32bit

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• utchctDtd
• QPONMKJIH

Injiziert Code in die folgenden Prozesse:

• created upnpcont.exe <- if 64bit
• self <- if failed to create lsass.exe or upnpcont.exe
• created lsass.exe <- if 32bit

Beendet sich selbst, wenn die folgenden Prozesse im Speicher des betroffenen Systems gefunden werden:

• drlwszvcbeo.exe
• vboxservice.exe
• vboxtray.exe
• defenderdaemon.exe
• taskmgr.exe
• procmon.exe
• vboxservice.exe
• vmacthlp.exe
• spidernt.exe
• spiderui.exe
• dwservice.exe
• SbieDll.dll
• VBoxHook.dll
• VBoxMRXNP.dll
• snxhk.dll

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Winodws\CurrentVersion\Policies\
Explorer\Run
Google Update = "%All Users Profile%\explorer.exe" <- if admin

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
Load = "%All Users Profile%\explorer.exe" <- if non-admin

Schleust die folgende Verknüpfung in den Ordner 'Autostart' ein, die auf die Kopie der eigenen Datei verweist, so dass diese bei jedem Systemstart automatisch ausgeführt wird:

• %User Startup%\{random number}.lnk

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Backdoor-Routine

Diese Malware hat keine Backdoor-Routine.

Download-Routine

Verbindet sich mit den folgenden bösartigen URLs:

• http://{BLOCKED}.{BLOCKED}.183.147/stats/notify.php?d={hashed data}

Öffnet die folgenden Websites, um Dateien herunterzuladen:

• {depends on the reply from the C&C}

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %User Temp%\{random number}.exe <- executed afterwards
• %User Temp%\{random number}.0pxm <- temporary storage, will be read and loaded onto memory, deleted afterwards

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Andere Details

Beendet sich selbst, falls festgestellt wird, dass die Ausführung in einer virtuellen Umgebung erfolgt.