Analyse von: Christopher Daniel So   
 

PUP-FMK (McAfee), AdWare.Win32.MultiPlug.bwof (Kaspersky)

 Plattform:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Adware

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Ja

  • In the wild::
    Ja

  Überblick

Infektionsweg: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware


  Technische Details

Dateigröße: 322,960 bytes
Dateityp: EXE
Speicherresiden: Nein
Erste Muster erhalten am: 23 August 2014
Schadteil: Downloads files

Installation

Schleust die folgenden Dateien ein:

  • {All Users' Application Data}\InstallMate\{{random GUID}}\{date and time of installation}.log
  • {All Users' Application Data}\InstallMate\{{random GUID}}\_Setup.dll
  • {All Users' Application Data}\InstallMate\{{random GUID}}\Custom.dll
  • {All Users' Application Data}\InstallMate\{{random GUID}}\Readme.txt
  • {All Users' Application Data}\InstallMate\{{random GUID}}\Setup.dat
  • {All Users' Application Data}\InstallMate\{{random GUID}}\Setup.exe
  • {All Users' Application Data}\InstallMate\{{random GUID}}\Setup.ico
  • {All Users' Application Data}\InstallMate\{{random GUID}}\TsuDll.dll

Erstellt die folgenden Ordner:

  • {All Users's Application Data}\InstallMate
  • {All Users's Application Data}\VenusApp Software

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random GUID}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random GUID}
UninstallString = "{All Users' Application Data}\InstallMate\{{random GUID}}\Setup.exe /remove /q0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random GUID}
QuietUninstallString = "{All Users' Application Data}\InstallMate\{{random GUID}}\Setup.exe /remove /q"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random GUID}
Version = "1000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random GUID}
VersionMinor = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random GUID}
EstimatedSize = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random GUID}
Language = "00000409"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random GUID}
TSAware = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{random GUID}
TizPath = "{malware path and file name}"

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %Desktop%\Windows 9 Professional (Eng_x64_Single Link) May 2014 _ Premium XP.exe - currently detected by Trend Micro as TROJ_SPNR.08GN14

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

  Lösungen

Mindestversion der Scan Engine: 9.700

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 5

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als ADW_INSTALLREX.GA entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Sie können die in Quarantäne verschobenen Dateien einfach löschen. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Nehmen Sie an unserer Umfrage teil