Trojan.Win32.TONEDROP.THACOBE

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %ProgramData%\session\Uninstall\uni52C2.tmp
• %ProgramData%\session\Uninstall\uninstall.dat
• %ProgramData%\session\uninstall.exe
• %ProgramData%\session\lua5.1.dll
• %ProgramData%\session\Uninstall\uninstall.xml
• %ProgramData%\session\2567_MDES0204_8_20134.pdf
• %ProgramData%\session\Uninstall\uninstall.xml
• %Programs%\session\OriginLegacyCLI.lnk
• %ProgramData%\session\Uninstall\uninstall.xml
• %ProgramData%\session\Uninstall\IRIMG1.JPG
• %ProgramData%\session\Uninstall\uninstall.xml
• %ProgramData%\session\Uninstall\IRIMG2.JPG
• %ProgramData%\session\Uninstall\uninstall.xml
• %User Temp%\_ir_sf_temp_0\lua5.1.dll
• %User Temp%\_ir_sf_temp_0\irsetup.dat
• %User Temp%\_ir_sf_temp_0\IRIMG1.JPG
• %User Temp%\_ir_sf_temp_0\IRIMG2.JPG
• %Windows%\Syswow64\CompressShaders

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust die folgenden Dateien ein und führt sie aus:

• %ProgramData%\session\EACore.dll → Detected as Backdoor.Win32.TONESHELL.THACOBE
• %ProgramData%\session\OriginLegacyCLI.exe
• %User Temp%\_ir_sf_temp_0\irsetup.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• "%User Temp%\_ir_sf_temp_0\irsetup.exe" __IRAOFF:1747314 "__IRAFN:{IRSetup.exe File Path}" "__IRCT:0" "__IRTSS:0" "__IRSID:S-1-5-21-2019512041-4230814187-3178073052-1000"
• %Program Files%\Adobe\Reader 9.0\Reader\AcroRd32.exe" "%Program Files%\session\2567_MDES0204_8_20134.pdf"
• %Program Files%\session\OriginLegacyCLI.exe
• "%Program Files%\Adobe\Reader 9.0\Reader\AdobeCollabSync.exe" -c
• %Windows%\SysWOW64\waitfor.exe" {Process ID} /INJECTRUNNING \ %Windows%\SysWOW64\Mavinject.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Datendiebstahl

Folgende Daten werden gesammelt:

• Computer Name

Andere Details

Es macht Folgendes:

• It checks for processes related to ESET antivirus applications:
  • ekrn.exe
  • egui.exe
  If it exists:
  • EACore.dll will be registered using regsvr32.exe
  • It will add the following process:
  • "%Windows%\SysWOW64\waitfor.exe" {Process ID} /INJECTRUNNING \ %Windows%\SysWOW64\Mavinject.exe
  If not, it will do the following:
  • Execute its shellcode injected to %Windows%\SysWOW64\waitfor.exe
• It displays the following PDF upon execution:
  • %Program Files%\session\2567_MDES0204_8_20134.pdf