Trojan.Win32.GULOADER.UVFTND

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Ordner hinzu:

• %User Profile%\Uncomplying
• %User Profile%\Uncomplying\bessemerovnen
• %User Profile%\Uncomplying\Leptosomic218
• %User Profile%\Uncomplying\bessemerovnen\Monochlamydeous

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{user name} unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %User Profile%\Documents\Windows.exe

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{user name} unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Dateien ein:

• %User Profile%\Uncomplying\Nehemiah.Unw
• %User Profile%\Uncomplying\bessemerovnen\Monochlamydeous\emblem-ok-symbolic.svg
• %User Profile%\Uncomplying\Leptosomic218\Abbr.Coo
• %User Temp%\ns{random characters}.tmp\System.dll
• %User Temp%\{random characters}.{random characters}.ps1
• %User Temp%\{random characters}.{random characters}.psm1
• %AppDataLocal%\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive
• %User Temp%\dismcore.dll
• %User Temp%\ellocnak.xml

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{user name} unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• {Malware File Path}\{Malware File Name}
• "%User Profile%\Documents\Windows.exe"
• powershell Add-MpPreference -ExclusionPath %System Root%
• "%System%\cmd.exe"
• "%System%\pkgmgr.exe" /n:%temp%\ellocnak.xml
• "%System%\dism.exe" /online /norestart /apply-unattend:"%User Temp%\ellocnak.xml"

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{user name} unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows updated = %User Profile%\Documents\Windows.exe

Andere Systemänderungen

Löscht die folgenden Dateien:

• %User Temp%\ns{random characters}.tmp
• %User Temp%\{random characters}.{random characters}.ps1
• %User Temp%\{random characters}.{random characters}.psm1

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
7PSFCZ5VCE
inst = {hex values}

HKEY_CURRENT_USER\Software\_rptls
Install = %User Profile%\Documents\Windows.exe

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
7PSFCZ5VCE

HKEY_CURRENT_USER\Software\_rptls

It connects to the following possibly malicious URL:

• https://{BLOCKED}oogle.com
• http://{BLOCKED}indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?87f2d7694ac77783
• https://{BLOCKED}oogle.com/uc?export=download&id=1oFxCgcE6DQZqjn0jYa7aqEVRaVKiE8La
• https://{BLOCKED}ac-docs.googleusercontent.com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/cgaq65bj3ja3sopur4p9irc3ihat6441/1678768275000/11453692225884401656/*/1oFxCgcE6DQZqjn0jYa7aqEVRaVKiE8La?e=download&uuid={UUID}
• https://{BLOCKED}ac-docs.googleusercontent.com
• https://{BLOCKED}ac-docs.googleusercontent.com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/ntnvnf5pgjc0qt6anamdlcnkmrdkhg0t/1678768575000/11453692225884401656/*/1oFxCgcE6DQZqjn0jYa7aqEVRaVKiE8La?e=download&uuid={UUID}
• https://{BLOCKED}ac-docs.googleusercontent.com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/6st9eq24cbfhjos7qv0utqsm1jv8k1db/1678768875000/11453692225884401656/*/1oFxCgcE6DQZqjn0jYa7aqEVRaVKiE8La?e=download&uuid={UUID}
• https://{BLOCKED}ac-docs.googleusercontent.com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/f72tooo2l324894ogh7rr46762eptefv/1678768350000/11453692225884401656/*/1oFxCgcE6DQZqjn0jYa7aqEVRaVKiE8La?e=download&uuid={UUID}
• https://{BLOCKED}ac-docs.googleusercontent.com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/2r4fje6nmr9un18ht7gch6fhofahirrs/1678768725000/11453692225884401656/*/1oFxCgcE6DQZqjn0jYa7aqEVRaVKiE8La?e=download&uuid={UUID}
• https://{BLOCKED}ac-docs.googleusercontent.com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/b81mcinge01e0pn0v41kghkkuhjp4l46/1678768425000/11453692225884401656/*/1oFxCgcE6DQZqjn0jYa7aqEVRaVKiE8La?e=download&uuid={UUID}
• https://{BLOCKED}ac-docs.googleusercontent.com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/4bpsemucrh18tpi4kamk29dqmgjdknrm/1678768500000/11453692225884401656/*/1oFxCgcE6DQZqjn0jYa7aqEVRaVKiE8La?e=download&uuid={UUID}
• https://{BLOCKED}ac-docs.googleusercontent.com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/t993f71nr7ni203abejvv1qd6uldgkfd/1678769025000/11453692225884401656/*/1oFxCgcE6DQZqjn0jYa7aqEVRaVKiE8La?e=download&uuid={UUID}