Analyse von: Michael Jay Villanueva   

 

TrojanSpy:Win32/Banker (Microsoft); Trojan-Banker.Win32.Neverquest2.ol (Kaspersky); Backdoor.Papras (Malwarebytes)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Backdoor

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick


  Technische Details

Dateigröße: 172,032 bytes
Dateityp: DLL
Erste Muster erhalten am: 18 März 2016

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %All Users Profile%\Application Data\{Random Folder Name}\{Random Filename}.dll

Erstellt die folgenden Ordner:

  • %All Users Profile%\Application Data\{Random Folder Name}

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = regsvr32.exe "%All Users Profile%\Application Data\{Random Folder Name}\{Random Filename}.dll"

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\{random CLSID}

HKEY_CURRENT_USER\Software\{random CLSID}\
{Name of Created Folder}

HKEY_CURRENT_USER\Software\{random CLSID}\
{Name of Created Folder}\{4 Random digits}
{4 Random Letters} = {Hex value}

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = 1

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
TabProcGrowth = 0

  Lösungen

Mindestversion der Scan Engine: 9.800
Erste VSAPI Pattern-Datei: 12.440.05
Erste VSAPI Pattern veröffentlicht am: 01 April 2016
VSAPI OPR Pattern-Version: 12.441.00
VSAPI OPR Pattern veröffentlicht am: 02 April 2016
Nehmen Sie an unserer Umfrage teil