Analisado por: Joselyn Canuela   
 

Trojan-Downloader.Win32.Upatre.gjkd (Kaspersky), Trojan:Win32/Pynamer.A!ac (Microsoft)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Worm

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Verbreitet sich über Flashdrives, Fallen gelassen von anderer Malware

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Detalhes técnicos

Tipo de compactação: 1,507,328 bytes
Tipo de arquivo: EXE
Data de recebimento das amostras iniciais: 16 dezembro 2017
Carga útil: Connects to URLs/IPs, Drops files

Installation

Schleust die folgenden Dateien ein:

  • %ProgramData%\{GUID}\driver.dat
  • %ProgramData%\WindowsAppCertification\WindowHelperStorageHostSystemThread.ps1
  • %ProgramData%\WindowsAppCertification\checker.vbs
  • %ProgramData%\WindowsAppCertification\cert.cmd
  • %ProgramData%\MicrosoftCorporation\Windows\Helpers\SecurityHeaIthService.exe
  • %ProgramData%\MicrosoftCorporation\Windows\Helpers\SystemldleProcess.exe
  • %ProgramData%\MicrosoftCorporation\Windows\Helpers\winIogon.exe
  • {Malware Path}\CreateShortcut.vbs
  • %User Startup%\Isass.lnk
  • %System%\Tasks\Windows_Antimalware_Host
  • %System%\Tasks\Windows_Antimalware_Host_Systm

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %ProgramData%\MicrosoftCorporation\Windows\System32\Isass.exe

Erstellt die folgenden Ordner:

  • %ProgramData%\MicrosoftCorporation
  • %ProgramData%\WindowsAppCertification

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows_Antimalware_Host_Syst = %ProgramData%\MicrosoftCorporation\Windows\System32\Isass.exe

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • {Removable Drive}\autorun.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %ProgramData%\{CB28D9D3-6B5D-4AFA-BA37-B4AFAABF70B8}\xmrig32.exe