PUA.Win32.InstallCore.MANHOCBM

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Ordner hinzu:

• %User Temp%\ish{random}

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Dateien ein:

• %Program Files%\is{random}.log
• %User Temp%\{random}.log
• %User Temp%\{random}_Update.exe
• %User Temp%\ICReinstall_{Malware filename}.exe
• %User Temp%\is{random}\{random}_stp.EXE
• %User Temp%\is{random}\{random}_stp.EXE.part
• %User Temp%\ish{random}\bootstrap_{random}.html
• %User Temp%\ish{random}\css\ie6_main.css
• %User Temp%\ish{random}\css\main.css
• %User Temp%\ish{random}\css\sdk-ui\browse.css
• %User Temp%\ish{random}\css\sdk-ui\button.css
• %User Temp%\ish{random}\css\sdk-ui\checkbox.css
• %User Temp%\ish{random}\css\sdk-ui\images\button-bg.png
• %User Temp%\ish{random}\css\sdk-ui\images\progress-bg-corner.png
• %User Temp%\ish{random}\css\sdk-ui\images\progress-bg.png
• %User Temp%\ish{random}\css\sdk-ui\images\progress-bg2.png
• %User Temp%\ish{random}\css\sdk-ui\progress-bar.css
• %User Temp%\ish{random}\csshover3.htc
• %User Temp%\ish{random}\dat\upd.DAT
• %User Temp%\ish{random}\form.bmp.Mask
• %User Temp%\ish{random}\images\Close_Hover.png
• %User Temp%\ish{random}\images\Close.png
• %User Temp%\ish{random}\images\Color_Button_Hover.png
• %User Temp%\ish{random}\images\Color_Button.png
• %User Temp%\ish{random}\images\Grey_Button_Hover.png
• %User Temp%\ish{random}\images\Grey_Button.png
• %User Temp%\ish{random}\images\Loader.gif
• %User Temp%\ish{random}\images\Logo.png
• %User Temp%\ish{random}\images\Progress.png
• %User Temp%\ish{random}\images\ProgressBar.png
• %User Temp%\ish{random}\images\text-bg.png
• %User Temp%\ish{random}\locale\DE.locale
• %User Temp%\ish{random}\locale\EN.locale
• %User Temp%\ish{random}\locale\ES.locale
• %User Temp%\ish{random}\locale\FR.locale
• %User Temp%\ish{random}\locale\IT.locale
• %User Temp%\ish{random}\locale\PL.locale
• %User Temp%\ish{random}\locale\PT.locale
• %User Temp%\ish{random}\locale\RU.locale
• %User Temp%\ish{random}\locale\UA.locale
• %Desktop%\Continue File Opener Installation.lnk

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\Desktop unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://ww25.os2.th{BLOCKED}app.com/CM_DS/?v=3.0&c=595283091&subid1=20220503-1734-39bb-9089-9d45d9de8e41
• http://os2.th{BLOCKED}pp.com/CM_DS/?v=3.0&c=595283091

Es macht Folgendes:

• It opens the following website through browser:
  • http://th{BLOCKED}app.com/file-opener/welcome/oc/?iv=0