Worm.Win32.HILGILD.B
Worm:Win32/Hilgild.C(MICROSOFT); W32/Agent.AEN!tr(FORTINET);
Windows
Tipo de grayware:
Worm
Destrutivo:
Não
Criptografado:
In the Wild:
Sim
Visão geral
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Detalhes técnicos
Übertragungsdetails
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %All Users Profile%\inetinfo.exe
Schleust die folgenden Dateien ein:
- %User Temp%\conm.dll
- {removable drive}\AuToRUn.iNf
- {removable drive}\RECYCLER\{encrypted computer name}.ldf
- %All Users Profile%\DRM\Media\{encrypted computer name}.ldf {if DRM folder is found}
- %All Users Profile%\Documents\Media\{encrypted computer name}.ldf {if DRM folder is not found}
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Schleust die folgenden Dateien ein und führt sie aus:
- %User Temp%\se.bat - deleted after execution
- %User Temp%\oi.bat {disable most security features} - deleted after execution
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Fügt die folgenden Prozesse hinzu:
- "%Program Files%\winrar\rar.exe" a -apX -r -ed-tk -m5 -dh -tl-hpThis0nePiece-taYYYYMMDD {shortened %All Users Profile%\DRM\Media\{encrypted computer name}.ldf} X:\*.doc X:\*.DOCX
- where X (apX included) = drives with drivetypes: DRIVE_FIXED or DRIVE_REMOTE
- YYYYMMDD, where MM = Month-1 && DD = Day-1
- if "%All Users Profile%\DRM" is not found, replace with "%All Users Profile%\Documents" instead
Erstellt die folgenden Ordner und legt für diese die Attribute System und Versteckt fest, um zu verhindern, dass die darin befindlichen Komponenten von Benutzern entdeckt und entfernt werden:
- %All Users Profile%\DRM\Media {if DRM folder is found}
- %All Users Profile%\Documents\Media {if DRM folder is not found}
Andere Systemänderungen
Ändert die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{7849596a-48ea-486e-8937-a2a3009f31a9}\InProcServer32
(Default) = "%User Temp%\conm.dll"
(Note: The default value data of the said registry entry is "%SystemRoot%\system32\shell32.dll".)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0
(Note: The default value data of the said registry entry is 1 {unless user purposely disabled firewall}.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Lsa
forceguest = 0
(Note: The default value data of the said registry entry is 0 {for admin accounts}; 1 {for guest accounts}.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Lsa
limitblankpassworduse = 0
(Note: The default value data of the said registry entry is 0 {if account has password}; 1 {if account has no password}.)
Verbreitung
Erstellt die folgenden Ordner in allen Wechsellaufwerken:
- RECYCLER {copies the content of Recycle Bin}
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- RECYCLER\wmimgmt.com
Prozessbeendigung
Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:
- Security Center (wscsvc) - also disables its autostart
Download-Routine
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- %User Temp%\kis.exe
- %User Temp%\kisi.exe
- %User Temp%\BRHFLQ.XML
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Datendiebstahl
Folgende Daten werden gesammelt:
- Disk space information
- Computer name
- All .doc and .docx files located on fixed and remote drives
Solução
Step 2
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.
Step 4
Im abgesicherten Modus neu starten
Step 5
Diese Datei suchen und löschen
- %All Users Profile%\Documents\Media\{encrypted computer name}.ldf
- %All Users Profile%\DRM\Media\{encrypted computer name}.ldf
- %All Users Profile%\inetinfo.exe
- %User Temp%\BRHFLQ.XML
- %User Temp%\conm.dll
- %User Temp%\kis.exe
- %User Temp%\kisi.exe
- %User Temp%\oi.bat
- %User Temp%\se.bat
- {removable drive}\AuToRUn.iNf
- {removable drive}\RECYCLER\{encrypted computer name}.ldf
- {removable drive}\RECYCLER\wmimgmt.com
Step 6
Diesen Ordner suchen und löschen
- {removable drive}\RECYCLER
Step 7
Diesen geänderten Registrierungswert wiederherstellen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7849596a-48ea-486e-8937-a2a3009f31a9}\InProcServer32
- (Default) = "%SystemRoot%\system32\shell32.dll"
- (Default) = "%SystemRoot%\system32\shell32.dll"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- EnableFirewall = 1
- EnableFirewall = 1
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
- forceguest = 0 {for admin accounts}; 1 {for guest accounts}.)
- forceguest = 0 {for admin accounts}; 1 {for guest accounts}.)
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
- limitblankpassworduse = 0 {if account has password}; 1 {if account has no password}
- limitblankpassworduse = 0 {if account has password}; 1 {if account has no password}
Step 8
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als Worm.Win32.HILGILD.B entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participe da nossa pesquisa!