Analyse von: Mark Joseph Manahan   

 Plattform:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Backdoor

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Hört Ports ab.

  Technische Details

Dateigröße: 90,112 bytes
Dateityp: EXE
Erste Muster erhalten am: 05 März 2014

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %ProgramData%\explorer.exe (Windows Vista and 7 only)
  • %All Users Profile%\explorer.exe
  • %All Users Profile%\{random}.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Start WingMan Profiler = "%All Users Profile%\explorer.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
540 = "%All Users Profile%\{random}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Start WingMan Profiler = "%ProgramData%\explorer.exe" (Windows Vista and 7 only and if Java update is disabled in startup)

Andere Systemänderungen

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "{malware path and file name}:*:Enabled:{malware file name}"

Backdoor-Routine

Hört folgende Ports ab:

  • 3232