Coinminer.Win32.MALXMR.TIAOODDC

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Diese Malware hat keine Backdoor-Routine.

Sammelt bestimmte Informationen auf dem betroffenen Computer.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Ordner hinzu:

• %User Temp%\_MEI{Random numbers}
• %Temp%\_MEI{Random numbers}

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Temp% ist der Windows Ordner für temporäre Dateien, normalerweise C:\Windows\Temp oder C:\WINNT\Temp.)

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %User Profile%\HelpPane.exe -> Detected as Coinminer.Win32.MALXMR.TIAOODDC

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{user name} unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Dateien ein:

• %User Temp%\_MEI{Random numbers}\Crypto.Cipher._AES.pyd
• %User Temp%\_MEI{Random numbers}\Microsoft.VC90.CRT.manifest
• %User Temp%\_MEI{Random numbers}\_ctypes.pyd
• %User Temp%\_MEI{Random numbers}\_hashlib.pyd
• %User Temp%\_MEI{Random numbers}\_socket.pyd
• %User Temp%\_MEI{Random numbers}\_ssl.pyd
• %User Temp%\_MEI{Random numbers}\_win32sysloader.pyd
• %User Temp%\_MEI{Random numbers}\bz2.pyd
• %User Temp%\_MEI{Random numbers}\ftpcrack.exe.manifest
• %User Temp%\_MEI{Random numbers}\msvcm90.dll
• %User Temp%\_MEI{Random numbers}\msvcp90.dll
• %User Temp%\_MEI{Random numbers}\msvcr90.dll
• %User Temp%\_MEI{Random numbers}\netifaces.pyd
• %User Temp%\_MEI{Random numbers}\perfmon.pyd
• %User Temp%\_MEI{Random numbers}\psutil._psutil_windows.pyd
• %User Temp%\_MEI{Random numbers}\pyexpat.pyd
• %User Temp%\_MEI{Random numbers}\python27.dll
• %User Temp%\_MEI{Random numbers}\pywintypes27.dll
• %User Temp%\_MEI{Random numbers}\select.pyd
• %User Temp%\_MEI{Random numbers}\servicemanager.pyd
• %User Temp%\_MEI{Random numbers}\unicodedata.pyd
• %User Temp%\_MEI{Random numbers}\win32api.pyd
• %User Temp%\_MEI{Random numbers}\win32event.pyd
• %User Temp%\_MEI{Random numbers}\win32evtlog.pyd
• %User Temp%\_MEI{Random numbers}\win32service.pyd
• %User Temp%\_MEI{Random numbers}\Include\pyconfig.h
• %User Temp%\_MEI{Random numbers}\back.jpg → DLL File loaded by the malware during execution
• %User Temp%\_MEI{Random numbers}\certifi\cacert.pem
• %User Temp%\_MEI{Random numbers}\config.json → configuration file of the coinminer which contains the algorithm, username, password, URL, etc. used.
• %User Temp%\_MEI{Random numbers}\httplib2\cacerts.txt
• %User Temp%\_MEI{Random numbers}\xmrig.exe → executes the coinminer payload of the malware detected as Coinminer.Win32.MALREP.THCODBO
• %Temp%\_MEI{Random numbers}\Crypto.Cipher._AES.pyd
• %Temp%\_MEI{Random numbers}\Microsoft.VC90.CRT.manifest
• %Temp%\_MEI{Random numbers}\_ctypes.pyd
• %Temp%\_MEI{Random numbers}\_hashlib.pyd
• %Temp%\_MEI{Random numbers}\_socket.pyd
• %Temp%\_MEI{Random numbers}\_ssl.pyd
• %Temp%\_MEI{Random numbers}\_win32sysloader.pyd
• %Temp%\_MEI{Random numbers}\bz2.pyd
• %Temp%\_MEI{Random numbers}\ftpcrack.exe.manifest
• %Temp%\_MEI{Random numbers}\msvcm90.dll
• %Temp%\_MEI{Random numbers}\msvcp90.dll
• %Temp%\_MEI{Random numbers}\msvcr90.dll
• %Temp%\_MEI{Random numbers}\netifaces.pyd
• %Temp%\_MEI{Random numbers}\perfmon.pyd
• %Temp%\_MEI{Random numbers}\psutil._psutil_windows.pyd
• %Temp%\_MEI{Random numbers}\pyexpat.pyd
• %Temp%\_MEI{Random numbers}\python27.dll
• %Temp%\_MEI{Random numbers}\pywintypes27.dll
• %Temp%\_MEI{Random numbers}\select.pyd
• %Temp%\_MEI{Random numbers}\servicemanager.pyd
• %Temp%\_MEI{Random numbers}\unicodedata.pyd
• %Temp%\_MEI{Random numbers}\win32api.pyd
• %Temp%\_MEI{Random numbers}\win32event.pyd
• %Temp%\_MEI{Random numbers}\win32evtlog.pyd
• %Temp%\_MEI{Random numbers}\win32service.pyd
• %Temp%\_MEI{Random numbers}\Include\pyconfig.h
• %Temp%\_MEI{Random numbers}\back.jpg → DLL File loaded by the malware during execution
• %Temp%\_MEI{Random numbers}\certifi\cacert.pem
• %Temp%\_MEI{Random numbers}\config.json → configuration file of the coinminer which contains the algorithm, username, password, URL, etc. used.
• %Temp%\_MEI{Random numbers}\httplib2\cacerts.txt
• %Temp%\_MEI{Random numbers}\xmrig.exe → executes the coinminer payload of the malware detected as Coinminer.Win32.MALREP.THCODBO
• %Temp%\config → config file read by the malware during its execution
• %Temp%\link.txt → shortcut file pointing to Photos.scr (filename used by the malware for its copy sent to connected ftp servers)
• %Temp%\config.json → configuration file of the coinminer which contains the algorithm, username, password, URL, etc. used.
• %Temp%\xmrig.exe → executes the coinminer payload of the malware. Detected as Coinminer.Win32.MALREP.THCODBO

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Temp% ist der Windows Ordner für temporäre Dateien, normalerweise C:\Windows\Temp oder C:\WINNT\Temp.)

Fügt die folgenden Prozesse hinzu:

• %System%\cmd.exe /c copy /y {Malware file path and name} %User Profile%\HelpPane.exe
• %System%\cmd.exe /c %User Profile%\HelpPane.exe --startup auto install
• %System%\cmd.exe /c %User Profile%\HelpPane.exe start

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{user name} unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Autostart-Technik

Fügt die folgenden Dienste hinzu und führt sie aus:

• • Service Name: StateftpService
  • Display Name: Application State ftp Service
  • Service Description: Application Support State ftp Service
  • Start Type: SERVICE_AUTO_START
  • Binary Pathname: %User Profile%\HelpPane.exe

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{user name} unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Systemänderungen

Löscht die folgenden Dateien:

• %User Temp%\_MEI{Random numbers}\Crypto.Cipher._AES.pyd
• %User Temp%\_MEI{Random numbers}\Microsoft.VC90.CRT.manifest
• %User Temp%\_MEI{Random numbers}\_ctypes.pyd
• %User Temp%\_MEI{Random numbers}\_hashlib.pyd
• %User Temp%\_MEI{Random numbers}\_socket.pyd
• %User Temp%\_MEI{Random numbers}\_ssl.pyd
• %User Temp%\_MEI{Random numbers}\_win32sysloader.pyd
• %User Temp%\_MEI{Random numbers}\bz2.pyd
• %User Temp%\_MEI{Random numbers}\ftpcrack.exe.manifest
• %User Temp%\_MEI{Random numbers}\msvcm90.dll
• %User Temp%\_MEI{Random numbers}\msvcp90.dll
• %User Temp%\_MEI{Random numbers}\msvcr90.dll
• %User Temp%\_MEI{Random numbers}\netifaces.pyd
• %User Temp%\_MEI{Random numbers}\perfmon.pyd
• %User Temp%\_MEI{Random numbers}\psutil._psutil_windows.pyd
• %User Temp%\_MEI{Random numbers}\pyexpat.pyd
• %User Temp%\_MEI{Random numbers}\python27.dll
• %User Temp%\_MEI{Random numbers}\pywintypes27.dll
• %User Temp%\_MEI{Random numbers}\select.pyd
• %User Temp%\_MEI{Random numbers}\servicemanager.pyd
• %User Temp%\_MEI{Random numbers}\unicodedata.pyd
• %User Temp%\_MEI{Random numbers}\win32api.pyd
• %User Temp%\_MEI{Random numbers}\win32event.pyd
• %User Temp%\_MEI{Random numbers}\win32evtlog.pyd
• %User Temp%\_MEI{Random numbers}\win32service.pyd
• %User Temp%\_MEI{Random numbers}\Include\pyconfig.h
• %User Temp%\_MEI{Random numbers}\back.jpg
• %User Temp%\_MEI{Random numbers}\certifi\cacert.pem
• %User Temp%\_MEI{Random numbers}\config.json
• %User Temp%\_MEI{Random numbers}\httplib2\cacerts.txt
• %User Temp%\_MEI{Random numbers}\xmrig.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Löscht die folgenden Ordner:

• %User Temp%\_MEI{Random numbers}

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\StateftpService\PythonClass
(Default) = %User Profile%\HelpPane.PythonService

Backdoor-Routine

Diese Malware hat keine Backdoor-Routine.

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• Terminates the processes with the following strings/substrings:
  • xmr
  • miner
• Terminates processes with the following strings in their commandline arguments:
  • xmr
  • miner
  • tcp://
  • stratum

Datendiebstahl

Sammelt die folgenden Informationen auf dem betroffenen Computer:

• Operating System (Windows or Linux)
• User Privilege (Admin or User)

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\StateftpService\PythonClass

Es macht Folgendes:

• It connects to the following URL for its coinmining activities:
  • http://xmr.{BLOCKED}-pool.fr:3333
• It generates random ip addresses and uses bruteforce to connect to ftp servers using ports 21 or 2121. It then drops a copy of itself with the following file names:
  • Photo.scr
  • Video.scr
  • AV.scr
  It also uploads a shortcut file corresponding to dropped copy using the following file names:
  • Photo.lnk
  • Video.lnk
  • AV.lnk
  It searches for files with the following extensions:
  • html
  • htm
  • php
  • asp
  • stm
  • dhtm
  • phtm
  • xht
  • mht
  • htx
  • aspx
  • jsp
  • cgi
  • shtm
  • xml
  then adds an iframe that will execute the dropped copy.