Analyse von: John Kevin Sanchez   

 

Backdoor.Win32.Ircbot.gen (v) (VIPRE), Backdoor.Win32.Ircbot.gen (v) (AVware)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Backdoor

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.

Ändert Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren. Dadurch kann diese Malware ihre Routinen ausführen, ohne von der Windows Firewall entdeckt zu werden.

  Technische Details

Dateigröße: 1,675,264 bytes
Dateityp: EXE
Speicherresiden: Ja
Erste Muster erhalten am: 26 April 2018

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Temp%\{random filename}.exe

(Hinweis: %Temp% ist der Windows Ordner für temporäre Dateien, normalerweise C:\Windows\Temp oder C:\WINNT\Temp.)

Fügt die folgenden Prozesse hinzu:

  • explorer.exe

Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.

Autostart-Technik

Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
mcafee = "%Temp%\{random filename}.exe"

Die zeitgesteuerte Aufgabe führt die Malware in folgenden Intervallen aus:

  • At log on of any user

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random}.exe

HKEY_CURRENT_USER\Software\Win7zip

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random}.exe
Debugger = {random}.exe

Ändert die folgenden Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\PublicProfile
EnableFirewall = 0