Analyse von: Neljorn Nathaniel Aguas   
 

PUA/OfferCore.Gen (ANTIVIR)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Potentially Unwanted Application

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja


  Technische Details

Dateigröße: 1,734,816 bytes
Dateityp: EXE
Speicherresiden: Nein
Erste Muster erhalten am: 31 August 2023
Schadteil: Connects to URLs/IPs, Drops files

Installation

Schleust die folgenden Dateien ein:

  • %User Temp%\is-{Random Characters 1}.tmp\{Malware File Name}.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 2}.tmp\is-{Random Characters 3}.tmp → Renamed afterwards to file_.exe
  • %User Temp%\is-{Random Characters 4}.tmp\file_.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 5}.tmp\botva2.dll → Deleted afterwards
  • %User Temp%\is-{Random Characters 5}.tmp\Helper.dll → Deleted afterwards

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

  • "%User Temp%\is-{Random Characters 1}.tmp\{Malware File Name}.tmp" /SL5="$1F05E8,831488,831488,{Malware Path}\{Malware File Name}.exe"
  • "%User Temp%\is-{Random Characters 2}.tmp\file_.exe" /LANG=en /NA=Rh85hR64
  • "%User Temp%\is-{Random Characters 4}.tmp\file_.tmp" /SL5="$2F05AA,1559708,780800,%User Temp%\is-{Random Characters 2}.tmp\file_.exe" /LANG=en /NA=Rh85hR64

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Erstellt die folgenden Ordner:

  • %User Temp%\is-{Random Characters 1}.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 2}.tmp
  • %User Temp%\is-{Random Characters 2}.tmp\_isetup
  • %User Temp%\is-{Random Characters 4}.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 5}.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 5}.tmp\_isetup → Deleted afterwards

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
Owner = {Hex Values}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
SessionHash = {Hex Values}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
Sequence = 1

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0001
Owner = {Hex Values} → Deleted afterwards

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0001
SessionHash = {Hex Values} → Deleted afterwards

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0001
Sequence = 1 → Deleted afterwards

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
{Hash Value}
Blob = {Hex Values}

Andere Details

It connects to the following possibly malicious URL:

  • http://{BLOCKED}9k18f2wb.cloudfront.net
  • http://{BLOCKED}ha0gj0a4.cloudfront.net