Analyse von: Jennifer Gumban   

 

Backdoor:Win32/Vawtrak.F (Microsoft),Backdoor.Win32.Papras.rwn (Kaspersky)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Backdoor

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Ändert Zoneneinstellungen von Internet Explorer.

  Technische Details

Dateigröße: 290,816 bytes
Dateityp: DLL
Erste Muster erhalten am: 27 Januar 2015

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %All Users Profile%\Application Data\{Random Folder}\{Random Filename}.{File Extension}

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Random Folder} = "regsvr32.exe "%All Users Profile%\Application Data\{Random Folder}\{Random Filename}.{File Extension}""

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CLASSES_ROOT\CLSID\{CLSID 1}

HKEY_CLASSES_ROOT\CLSID\{CLSID 2}

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 1}

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 2}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 2}
{CLSID 3} = "{hex value}"

HKEY_CLASSES_ROOT\CLSID\{CLSID 1}
#cert = "{hex value}"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID 1}
#cert = "{hex value}"

HKEY_CLASSES_ROOT\CLSID\{CLSID 2}
{CLSID 3} = "{hex value}"

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.