Analyse von: Pearl Charlaine Espejo   

 

Troj/Mdrop-GSU (Sophos); Trojan:Win32/Dynamer!ac (Microsoft); Trojan-Ransom.NSIS.Onion.xv (Kaspersky); Nsis.Trojan.Onion.Htvp (Tencent); Trojan.NSIS.Ransom.xv (Baidu-International)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Löscht sich nach der Ausführung selbst.

  Technische Details

Dateigröße: 405,423 bytes
Dateityp: EXE
Erste Muster erhalten am: 22 Juni 2015

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %ProgramData%\MS Word 2015\{random filename}.exe (for Windows Vista and above)
  • %Program Files%\Common Files\MS Word 2015\{random filename}.exe (for Windows XP and below)

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Schleust die folgenden Dateien ein:

  • %Application Data%\NLEastPreview_0k987akk_d31fpjh9.jpg
  • %Application Data%\08 - Bloc Party - Kreuzberg.mp3
  • %Application Data%\78auidawui1awdunawdk
  • %User Temp%\nsw1C.tmp\Evesham.dll
  • %User Temp%\mdcVBuh5anGQpbs-wtB9AD0JTFmzKdb-kalumD9c0H1WwYB-rMeiXDVgucN8HOw.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %ProgramData%\MS Word 2015 (for Windows Vista and above)
  • %Program Files%\Common Files\MS Word 2015 (for Windows XP and below)

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
MS Word 2015 = "%Program Files%\Common Files\MS Word 2015\{random filename}.exe" (for Windows XP and below)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
MS Word 2015 = "%Program Files%\Common Files\MS Word 2015\{random filename}.exe" (for Windows XP and below)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
MS Word 2015 = "%ProgramData%\MS Word 2015\{random filename}.exe" (for Windows Vista and above)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
MS Word 2015 = "%ProgramData%\MS Word 2015\{random filename}.exe" (for Windows Vista and above)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\08 - Bloc Party - Kreuzberg.mp3

HKEY_CURRENT_USER\Software\AppDataLow\
Software\{UID}

HKEY_CURRENT_USER\Software\AppDataLow\
Software\MyMailClient

HKEY_CURRENT_USER\Software\AppDataLow\
Google Updater (for Windows Vista and above)

HKEY_CURRENT_USER\Software\Logitech, Inc. (for Windows XP and below)

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random filename}.exe
DisableExceptionChainValidation = ""

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
2500 = "3"

HKEY_CURRENT_USER\Software\AppDataLow\
Google Updater
LastUpdate = "{hex values}" (for Windows Vista and above)

HKEY_CURRENT_USER\Software\Logitech, Inc.
WindowLayout = "{hex values}" (for Windows XP and below)

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = "1"

Andere Details

Löscht sich nach der Ausführung selbst.