Analyse von: Homer Pacag   
 

Trojan:Win32/Kovter!rfn (Microsoft); Trojan.Win32.Inject.qfv (Kaspersky)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Löscht Registrierungseinträge, so dass einige Anwendungen und Programme nicht ordnungsgemäß ausgeführt werden.

  Technische Details

Dateigröße: 494,694 bytes
Dateityp: EXE
Erste Muster erhalten am: 13 Mai 2015

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • "%AppDataLocal%\{random 1}\{random 1}.exe"

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
{random 1} = "%AppDataLocal%\{random 1}\{random 1}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random 1} = "%AppDataLocal%\{random 1}\{random 1}.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\{random key 1}

HKEY_LOCAL_MACHINE\SOFTWARE\{random key 2}

HKEY_CURRENT_USER\Software\{random key 1}

HKEY_CURRENT_USER\Software\{random key 2}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\{random key 1}
1 = "%AppDataLocal%\{random 1}\{random 1}.exe"

HKEY_CURRENT_USER\Software\{random key 1}
2 = "{random values}"

HKEY_CURRENT_USER\Software\{random key 1}
3 = "{random values}"

HKEY_CURRENT_USER\Software\{random key 1}
4 = "{random values}"

HKEY_CURRENT_USER\Software\{random key 1}
7 = "{random key 2}"

HKEY_LOCAL_MACHINE\SOFTWARE\{random key 1}
1 = "%AppDataLocal%\{random 1}\{random 1}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\{random key 1}
2 = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\{random key 1}
3 = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\{random key 1}
4 = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\{random key 1}
7 = "{random key 2}"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer\
CodeIdentifiers\0\Paths\
{GUID}
ItemData = "{path of installed AV or Virtual Application }"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer\
CodeIdentifiers\0\Paths\
{GUID}
SaferFlags = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = "1"

Löscht die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
sermouse.sys
(Default) = "Driver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
PlugPlay
(Default) = "Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
vga.sys
(Default) = "Driver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
{GUID}
(Default) = "CD-ROM Drive"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
{GUID}
(Default) = "Keyboard"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
{GUID}
(Default) = "Mouse"