Analyse von: Rika Joi Gregorio   
 Plattform:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Hacking Tool

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise manuell von einem Benutzer installiert.

  Technische Details

Dateigröße: 973,556 bytes
Dateityp: EXE
Speicherresiden: Nein
Erste Muster erhalten am: 03 September 2013

Übertragungsdetails

Wird möglicherweise von anderer Malware eingeschleust.

Wird möglicherweise manuell von einem Benutzer installiert.

Installation

Schleust die folgenden Dateien ein:

  • %All Users Profile%\Application Data\Office Genuine Advantage\data\data.dat
  • %All Users Profile%\Application Data\Windows Genuine Advantage\data\data.dat
  • %All Users Profile%\Application Data\Microsoft\Crypto\RSA\MachineKeys\{random}

Erstellt die folgenden Ordner:

  • %All Users Profile%\Application Data\Office Genuine Advantage
  • %All Users Profile%\Application Data\Office Genuine Advantage\data
  • %All Users Profile%\Application Data\Windows Genuine Advantage
  • %All Users Profile%\Application Data\Windows Genuine Advantage\data
  • %All Users Profile%\Application Data\Microsoft\Crypto
  • %All Users Profile%\Application Data\Microsoft\Crypto\RSA
  • %All Users Profile%\Application Data\Microsoft\Crypto\RSA\S-1-5-21-{random digits}

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\WinRAR SFX

HKEY_CURRENT_USER\Software\Microsoft\
Windows Genuine Advantage

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\WgaLogon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\WgaLogon\Settings

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\WinRAR SFX
{System Root Letter}%% = "%System Root%"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Genuine Advantage
id = "{2CFF104F-1FF3-4D65-9201-B24F86E23A37}"

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
ProductId = "{new product ID}"

(Note: The default value data of the said registry entry is {original product ID}.)