RANSOM_CRYPWALL.YUYAIA

Diese Malware hat keine Verbreitungsroutine.

Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen. Diese Malware hat keine Backdoor-Routine.

Ändert Zoneneinstellungen von Internet Explorer.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\{random characters}\{random characters}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

• %User Startup%\INSTRUCTIONS_{RANDOM HEX}.html
• %User Startup%\INSTRUCTIONS_{RANDOM HEX}.png
• %User Startup%\INSTRUCTIONS_{RANDOM HEX}.txt
• {Drive Letter}:\INSTRUCTIONS_{RANDOM HEX}.png

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Schleust die folgenden Dateien ein und führt sie aus:

• %Desktop%\INSTRUCTIONS_{RANDOM HEX}.html
• %Desktop%\INSTRUCTIONS_{RANDOM HEX}.png
• %Desktop%\INSTRUCTIONS_{RANDOM HEX}.txt

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• svchost.exe

Wird in die folgenden Prozesse injiziert, die im Arbeitsspeicher ausgeführt werden:

• created svchost.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%Application Data%\{random characters}\{random characters}.exe"

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Backdoor-Routine

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

• http://abcdesignbv.nl/vb4UWH.php?{random letter}={random values}
• http://arthuretpaul.com/CiY8cG.php?{random letter}={random values}
• http://arthuretpaul.com/cgi-sys/suspendedpage.cgi?{random letter}={random values}
• http://{BLOCKED}tv.altervista.org/M2auqS.php?{random letter}={random values}
• http://{BLOCKED}ndefterli.com/IAk2Qi.php?{random letter}={random values}
• http://{BLOCKED}alandais.co.nz/3fHZPS.php?{random letter}={random values}
• http://{BLOCKED}hemes.com/vwnRJG.php?{random letter}={random values}
• http://{BLOCKED}deling.ca/rHCcSm.php?{random letter}={random values}
• http://{BLOCKED}chule-gaumenfreude.de/09oq1Q.php?{random letter}={random values}
• http://{BLOCKED}h.com/oLCebS.php?{random letter}={random values}
• http://{BLOCKED}mayard.altervista.org/Dcj485.php?{random letter}={random values}
• http://{BLOCKED}pitalgroup.com/HTDyaz.php?{random letter}={random values}
• http://{BLOCKED}ablethoughts.com/QzGq85.php?{random letter}={random values}
• http://{BLOCKED}hchang.com/9vAMq_.php?{random letter}={random values}
• http://{BLOCKED}g.de/qmnKy8.php?{random letter}={random values}
• http://{BLOCKED}deocio.com/agIYZE.php?{random letter}={random values}
• http://{BLOCKED}yingboars.com/5dKXSR.php?{random letter}={random values}
• http://{BLOCKED}sparentsblog.com/Qemfzh.php?{random letter}={random values}
• http://{BLOCKED}sparentsblog.com/cgi-sys/suspendedpage.cgi?{random letter}={random values}
• http://{BLOCKED}t.sk/174DQV.php?{random letter}={random values}
• http://{BLOCKED}t.sk/YAyiWn.php?{random letter}={random values}
• http://{BLOCKED}buzz.altervista.org/oaHLO8.php?{random letter}={random values}
• http://{BLOCKED}attila.com/4t8H6r.php?{random letter}={random values}
• http://{BLOCKED}ortes.es/P35YLA.php?{random letter}={random values}
• http://www.{BLOCKED}defterli.com/IAk2Qi.php?{random letter}={random values}
• http://www.{BLOCKED}attila.com/4t8H6r.php?{random letter}={random values}
• http://{BLOCKED}tographie.free.fr/SCNnAd.php?{random letter}={random values}

Diese Malware hat keine Backdoor-Routine.

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Andere Details

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• pdf
• pot
• xlt
• pps
• xlw
• dot
• rtf
• ppt
• xls
• doc
• xml
• htm
• html
• hta
• zip
• dvr-ms
• wvx
• wmx
• wmv
• wm
• mpv2
• mpg
• mpeg
• mpe
• mpa
• mp2v
• mp2
• m1v
• IVF
• asx
• asf
• wax
• snd
• rmi
• m3u
• au
• aiff
• aifc
• aif
• midi
• mid
• wma
• wav
• m p3
• wmf
• tiff
• tif
• rle
• png
• jpeg
• jpe
• jpg
• jfif
• ico
• gif
• emf
• dib
• bmp

Benennt verschlüsselte Dateien in folgende Namen um:

• {5 to 10 alphanumeric characters}.{2 to 5 alphanumeric characters}