TROJANSPY.WIN32.EMOTET.THABAAAH
Trojan-Banker.Win32.Emotet.bunn(KASPERSKY)
Windows
Tipo de grayware:
Trojan Spy
Destrutivo:
Não
Criptografado:
In the Wild:
Sim
Visão geral
Detalhes técnicos
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %System%\{random file name}.exe -> Drop when file is run with admin rights
- %AppDataLocal%\{Random Filename}\{random file name}.exe -> Drop when file is run without admin rights
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Fügt die folgenden Prozesse hinzu:
- %AppDataLocal%\{Random Filename}\{random file name}.exe
- %System%\{random file name}.exe
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Run
{random file name} = %AppDataLocal%\{Random Filename}\{random file name}.exe
Startet die folgenden Dienste:
- Service Name: {random file name}
- Image Path: %System%\{Random Filename}.exe
- DisplayName: {Random Filename}
- Description: Manages audio devices for the Windows Audio service. If this service is stopped, audio devices and effects will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)