Ransom.Win32.VENUS.THIABBB

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Wird ausgeführt und löscht sich dann selbst.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %Windows%\{Malware Filename}.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust die folgenden Dateien ein:

• %Windows%\{Derived from System Info}{Volume Serial Number in Decimal Value}.png ← (20 characters)
• %User Temp%\{Derived from System Info}{Volume Serial Number in Decimal Value}.jpg ← (20 characters)

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• "%Windows%\{Malware Filename}.exe" g g g o n e123
• /c ping localhost -n 3 > nul & del {Malware File Path} ← Deletes the original malware file
• /C taskkill /F /IM {Process Name} ← Terminates a hardcoded list of processes
• wbadmin delete catalog -quiet ← Deletes event logs
• vssadmin.exe delete shadows /all /quiet
• wmic SHADOWCOPY DELETE ← Deletes shadow copy volumes
• bcdedit.exe /set {current} nx AlwaysOff ← Disables data execution prevention

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Wird ausgeführt und löscht sich dann selbst.

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• {Derived from System Info}{Volume Serial Number in Decimal Value} ← (20 characters)

Autostart-Technik

Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Malware Filename} = %Windows%\{Malware Filename}.exe

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
pbsecGOOD = {Random Characters}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
secpbGOOD = {Random Characters}

Ändert das Hintergrundbild des Desktops durch Abänderung der folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Temp%\{Derived from System Info}{Volume Serial Number in Decimal Value}.jpg

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• agntsvc.exe
• dbeng50.exe
• dbsnmp.exe
• encsvc.exe
• excel.exe
• firefoxconfig.exe
• infopath.exe
• isqlplussvc.exe
• msaccess.exe
• msftesql.exe
• mspub.exe
• mydesktopqos.exe
• mydesktopservice.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• onenote.exe
• oracle.exe
• outlook.exe
• powerpnt.exe
• sqbcoreservice.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlservr.exe
• sqlwriter.exe
• synctime.exe
• tbirdconfig.exe
• thebat64.exe
• thunderbird.exe
• winword.exe
• wordpad.exe
• xfssvccon.exe

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.venus\DefaultIcon
(Default) = {Derived from System Info}{Volume Serial Number in Decimal Value}.png

Es macht Folgendes:

• It changes the icons of encrypted files with the following image:
  
• It empties the Recycle Bin