Analisado por: Nikko Tamana   

 

VBS/DwnLdr-UZE (Sophos)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Leitet Dateien durch Hinzufügen bestimmter Registrierungseinträge um. Dadurch kann diese Malware ausgeführt werden, auch wenn andere Anwendungen geöffnet sind.

Ändert Sicherheitseinstellungen von Internet Explorer. Hierdurch ist der betroffene Computer stärker gefährdet, da er auf bösartige URLs zugreifen kann.

  Detalhes técnicos

Tipo de compactação: 134,210 bytes
Tipo de arquivo: VBS
Data de recebimento das amostras iniciais: 09 janeiro 2018

Installation

Schleust die folgenden Dateien ein:

  • %ProgramData%\{random letters}\System
  • %ProgramData%\{random numbers}.exe

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %ProgramData%\{random letters}\{random letters}.vbs

Autostart-Technik

Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:

HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
ChromeUpdater = %ProgramData%\{random numbers}.exe

Leitet Dateien um, damit sie beim Zugriff auf bestimmte Dateitypen ausgeführt wird, indem sie die folgenden Einträge hinzufügt:

HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas
HasLUAShield = {Default}

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKLM\SOFTWARE\Classes\
{random letters}

HKLM\SOFTWARE\Classes\
{random letters}\shell

HKLM\SOFTWARE\Classes\
{random letters}\shell\open

HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command

HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon

HKLM\SOFTWARE\Classes\
.

HKCU\Software\Vaalberit

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon
{Default} = %1

HKCU\Software\Vaalberit
black = !TEST.EXE!

HKCU\Software
Vaalberit = {random letters}

HKLM\SOFTWARE\Classes\
.exe
{Default} = {random letters}

HKLM\SOFTWARE\Classes\
.
{Default} = exefile

HKCU\Software\Vaalberit
black = 0!0

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %ProgramData%\{random letters}\{random alphanumeric characters}.exe