JAVA_ADWIND.USMGBFBG

Installation

Schleust die folgenden Dateien ein:

• %Application Data%\Oracle\{Copies of files under Java installation folder}
• %User Profile%\TTHRemLiVBI\ID.txt
• %User Profile%\fUTkALeaTxM\ID.txt
• %User Temp%\_0.{random numbers}.class
• %User Profile%\.oracle_jre_usage\{random filename}.timestamp
• %User Profile%\{Random Characters}.{Random Characters}

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein und führt sie aus:

• %User Temp%\Retrive{random numbers}.vbs
• %User Temp%\{Random string}.reg

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• xcopy "%Program Files%\Java\jre{version}" "%Application Data%\Oracle\" /e ← copy files and directory trees of Java Installation folder to %Application Data%\Oracle folder
• attrib +h "%User Profile%\{random characters}\*.*" ← set attribute of all files under the folder to hidden
• attrib +h "%User Profile%\{random characters}" ← set attribute of folder to hidden
• %System%\taskkill.exe /IM {process name} /T /F ← where {process name} could be one of the following processes terminated by the malware

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Erstellt die folgenden Ordner:

• %User Profile%\TTHRemLiVBI
• %User Profile%\fUTkALeaTxM
• %Application Data%\Oracle

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Random Characters} = "%Application Data%\Oracle\bin\javaw.exe" -jar "%User Profile%\{Random Characters}\{Random Characters}.{Random Characters}"

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = .avi;.bat;.com;.cmd;.exe;.htm;.html;.lnk;.mpg;.mpeg;.mov;.mp3;.msi;.m3u;.rar;.reg;.txt;.vbs;.wav;.zip;.jar;

HKEY_CURRENT_USER\Environment
SEE_MASK_NOZONECHECKS = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorUser = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System value
PromptOnSecureDesktop = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = 1

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• AVK.exe
• AVKProxy.exe
• AVKService.exe
• AVKTray.exe
• AVKWCtlx64.exe
• AdAwareDesktop.exe
• AdAwareService.exe
• AdAwareTray.exe
• AgentSvc.exe
• BDSSVC.EXE
• Bav.exe
• BavSvc.exe
• BavTray.exe
• BavUpdater.exe
• BavWebClient.exe
• BgScan.exe
• BullGuarScanner.exe
• BullGuard.exe
• BullGuardBhvScanner.exe
• BullGuardUpdate.exe
• CONSCTLX.EXE
• CertReg.exe
• CisTray.exe
• ClamTray.exe
• ClamWin.exe
• ConfigSecurityPolicy.exe
• EMLPROXY.EXE
• FCDBlog.exe
• FCHelper64.exe
• FPAVServer.exe
• FPWin.exe
• FProtTray.exe
• FSHDLL64.exe
• FSM32.EXE
• FSMA32.EXE
• FilMsg.exe
• FilUp.exe
• FortiClient.exe
• FortiClient_Diagnostic_Tool.exe
• FortiESNAC.exe
• FortiFW.exe
• FortiProxy.exe
• FortiSSLVPNdaemon.exe
• FortiTray.exe
• GDKBFltExe32.exe
• GDSC.exe
• GDScan.exe
• GdBgInx64.exe
• K7AVScan.exe
• K7CrvSvc.exe
• K7EmlPxy.EXE
• K7FWSrvc.exe
• K7PSSrvc.exe
• K7RTScan.exe
• K7SysMon.Exe
• K7TSMain.exe
• K7TSMngr.exe
• K7TSecurity.exe
• LittleHook.exe
• MCS-Uninstall.exe
• MCShieldCCC.exe
• MCShieldDS.exe
• MCShieldRTM.exe
• MSASCui.exe
• MWAGENT.EXE
• MWASER.EXE
• MpCmdRun.exe
• MpUXSrv.exe
• MsMpEng.exe
• NS.exe
• NisSrv.exe
• ONLINENT.EXE
• OPSSVC.EXE
• PSANHost.exe
• PSUAMain.exe
• PSUAService.exe
• ProcessHacker.exe
• PtSessionAgent.exe
• PtSvcHost.exe
• PtWatchDog.exe
• QUHLPSVC.EXE
• SAPISSVC.EXE
• SASCore64.exe
• SASTask.exe
• SBAMSvc.exe
• SBAMTray.exe
• SBPIMSvc.exe
• SCANNER.EXE
• SCANWSCS.EXE
• SDFSSvc.exe
• SDScan.exe
• SDTray.exe
• SDWelcome.exe
• SSUpdate64.exe
• SUPERAntiSpyware.exe
• SUPERDelete.exe
• ScSecSvc.exe
• TRAYICOS.EXE
• TRAYSSER.EXE
• UnThreat.exe
• UserReg.exe
• V3Main.exe
• V3Medic.exe
• V3Proxy.exe
• V3SP.exe
• V3Svc.exe
• V3Up.exe
• VIEWTCP.EXE
• VIPREUI.exe
• WebCompanion.exe
• Zanda.exe
• Zlh.exe
• acs.exe
• av_task.exe
• avpmapp.exe
• bavhm.exe
• capinfos.exe
• cavwp.exe
• cis.exe
• clamscan.exe
• cmdagent.exe
• coreFrameworkHost.exe
• coreServiceShell.exe
• dragon_updater.exe
• dumpcap.exe
• econceal.exe
• econser.exe
• editcap.exe
• escanmon.exe
• escanpro.exe
• fcappdb.exe
• filwscc.exe
• fmon.exe
• freshclam.exe
• freshclamwrap.exe
• fsgk32.exe
• fshoster32.exe
• fsorsp.exe
• fssm32.exe
• guardxkickoff_x64.exe
• guardxservice.exe
• iptray.exe
• mbam.exe
• mbamscheduler.exe
• mbamservice.exe
• mergecap.exe
• nanoav.exe
• nanosvc.exe
• nbrowser.exe
• nfservice.exe
• njeeves2.exe
• nnf.exe
• nprosec.exe
• nseupdatesvc.exe
• nvcod.exe
• nvcsvc.exe
• nvoy.exe
• nwscmon.exe
• op_mon.exe
• procexp.exe
• psview.exe
• quamgr.exe
• rawshark.exe
• schmgr.exe
• scproxysrv.exe
• text2pcap.exe
• trigger.exe
• tshark.exe
• twsscan.exe
• twssrv.exe
• uiSeAgnt.exe
• uiUpdateTray.exe
• uiWatchDog.exe
• uiWinMgr.exe
• utsvc.exe
• virusutilities.exe
• wireshark.exe
• Zlhh.exe