TROJ_CRYPWALL
Windows
Malware-Typ:
Trojan
Zerstrerisch?:
Ja
Verschlsselt?:
Ja
In the wild::
Ja
Überblick
Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.
Technische Details
Installation
Fügt die folgenden Ordner hinzu:
- %System Root%\{7 characters from UID}
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Schleust die folgenden Dateien ein:
- %User Startup%\DECRYPT_INSTRUCTION.TXT
- %User Startup%\DECRYPT_INSTRUCTION.HTML
- %User Startup%\INSTALL_TOR.URL
(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)
Schleust die folgenden Dateien ein und führt sie aus:
- %Desktop%\DECRYPT_INSTRUCTION.TXT
- %Desktop%\DECRYPT_INSTRUCTION.HTML
- %Desktop%\INSTALL_TOR.URL
(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System Root%\{7 characters from UID}\{7 characters from UID}.exe
- %Application Data%\{7 characters from UID}.exe
- %User Startup%\{7 characters from UID}.exe
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{7characters from UID} = "%Application Data%\{7 characters from UID}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{6 characters from UID} = "%System Root%\{7 characters from UID}\{7 characters from UID}.exe"
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications
HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}
HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}\Recent File List
HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}\Settings
Andere Details
Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:
- http://www.{BLOCKED}apmak.com/{random value}
- http://www.{BLOCKED}tringen.de/wordpress/{random value}
- http://www.{BLOCKED}psphotography.co.uk/blog/{random value}
- http://www.{BLOCKED}nguild.com/{random value}
- http://www.{BLOCKED}e.be/{random value}
- http://www.{BLOCKED}-schwarzenberg.de/wp-content/themes/fdp-asz/{random value}
- http://www.{BLOCKED}ntiques.co.uk/blog/{random value}
- http://www.{BLOCKED}erburg.ch/wordpress/{random value}
- http://www.{BLOCKED}info.com/wp-content/themes/mh/{random value}
- http://www.{BLOCKED}ifesupport.com/{random value}
- http://eportfolio.{BLOCKED}man.ca/blog/{random value}
- http://www.{BLOCKED}man.com/wp-content/themes/s431_Blue/{random value}
- http://{BLOCKED}tner.cz/{random value}
- http://www.{BLOCKED}mann.de/{random value}
- http://www.{BLOCKED}rda.com/blog-trabajos/{random value}
- http://www.{BLOCKED}r.at/jesneu/wp-content/themes/Girl/{random value}
- http://www.{BLOCKED}rideal.com.br/site/{random value}
- http://www.{BLOCKED}mes.com/{random value}
Verschlüsselt Dateien mit den folgenden Erweiterungen:
- .pdf
- .pdf
- .pot
- .pot
- .hta
- .xlt
- .xlt
- .pps
- .pps
- .xlw
- .xlw
- .dot
- .dot
- .rtf
- .rtf
- .ppt
- .ppt
- .xls
- .xls
- .doc
- .doc
- .xml
- .xml
- .htm
- .htm
- .html
- .html
- .hta
- .zip
- .dvr-ms
- .wvx
- .wmx
- .wmv
- .wm
- .mpv2
- .mpg
- .mpeg
- .mpe
- .mpa
- .mp2v
- .mp2
- .m1v
- .IVF
- .asx
- .asf
- .wax
- .snd
- .rmi
- .m3u
- .au
- .aiff
- .aifc
- .aif
- .midi
- .mid
- .wma
- .wav
- .mp3
- .wmf
- .tiff
- .tif
- .rle
- .png
- .jpeg
- .jpe
- .jpg
- .jfif
- .ico
- .gif
- .emf
- .dib
- .bmp