Analyse von: Anthony Joe Melgarejo   
 

Win32/UnlimitedDownloads.A (ESET)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Adware

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen. Wird möglicherweise manuell von einem Benutzer installiert.

Erstellt Ordner und legt dort Dateien von sich ab.

Beinhaltet ein Deinstallationspaket, das die eingeschleusten Dateien und die erstellten Registrierungseinträge vollständig entfernt.

  Technische Details

Dateigröße: 166,872 bytes
Dateityp: EXE
Erste Muster erhalten am: 20 Oktober 2014

Übertragungsdetails

Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen.

Wird möglicherweise manuell von einem Benutzer installiert.

Installation

Schleust die folgenden Dateien ein:

  • %User Temp%\_{11 random alphanumeric numbers 1}.bat
  • %User Temp%\_{11 random alphanumeric numbers 2}.bat
  • %User Temp%\_{11 random alphanumeric numbers 3}.bat
  • %User Temp%\_{11 random alphanumeric numbers 4}.bat

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Erstellt Ordner und legt dort Dateien von sich ab.

Erstellt die folgenden Ordner:

  • %Program Files%\Common Files\DealAlly
  • %Program Files%\Common Files\Diagnostics

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
ImagePath = ""%Program Files%\Common Files\Diagnostics\node\service.exe" -s "%Program Files%\Common Files\Diagnostics\node\diagnostics.js""

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
DisplayName = "Diagnostics"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
Description = "Diagnostics service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
ImagePath = ""%Program Files%\Common Files\Diagnostics\node\service.exe" -s "%Program Files%\Common Files\Diagnostics\node\proxy_master.js""

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
DisplayName = "Proxy"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
Description = "Proxy service"

Registriert sich als Systemdienst, damit die Ausführung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschlüssel hinzufügt werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Classes\
Software\Microsoft\Windows\
CurrentVersion\Internet Settings
ProxyServer = "127.0.0.1:5050"

HKEY_CURRENT_USER\Software\Classes\
Software\Microsoft\Windows\
CurrentVersion\Internet Settings
ProxyEnable = "1"

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly

Andere Details

Fügt die folgenden Registrierungseinträge hinzu, um der Systemsteuerung eine Deinstallationsoption hinzuzufügen:

HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
DisplayName = "DealAlly"

HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
UninstallString = "%Program Files%\Common Files\DealAlly\uninst.exe"

HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
DisplayVersion = "1"

HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
Publisher = "Jet Applications"

Beinhaltet ein Deinstallationspaket, das die eingeschleusten Dateien und die hinzugefügten Registrierungseinträge vollständig entfernt.