Analyse von: Anthony Joe Melgarejo   
 

Trojan.Ransom.ED (Malwarebytes)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Ja

  • In the wild::
    Ja

  Überblick

Ändert Zoneneinstellungen von Internet Explorer. Setzt die Sicherheitseinstellungen von Internet Explorer herab.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

  Technische Details

Dateigröße: 375,372 bytes
Dateityp: EXE
Speicherresiden: Ja
Erste Muster erhalten am: 21 November 2014

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %User Temp%\tmp{random number}.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

  • %System Root%\Recycler\{User SID}\$ast-{User SID}\{random characters}.dat
  • %Application Data%\Microsoft\Windows\IEUpdate\{random name}.exe - detected as TROJ_ROPEST.SM

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner und legt für diese die Attribute System und Versteckt fest, um zu verhindern, dass die darin befindlichen Komponenten von Benutzern entdeckt und entfernt werden:

  • %Application Data%\Microsoft\Windows\IEUpdate

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = "%Application Data%\Microsoft\Windows\IEUpdate\{random name}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Command Processor
AutoRun = "%Application Data%\Microsoft\Windows\IEUpdate\{random name}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
Run = "%Application Data%\Microsoft\Windows\IEUpdate\{random name}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = "%Application Data%\Microsoft\Windows\IEUpdate\{random name}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{random name} = "%Application Data%\Microsoft\Windows\IEUpdate\{random name}.exe"

Schleust die folgende Verknüpfung in den Ordner 'Autostart' ein, die auf die Kopie der eigenen Datei verweist, so dass diese bei jedem Systemstart automatisch ausgeführt wird:

  • %Start Menu%\Programs\Startup\{random name}.lnk

(Hinweis: %Start Menu% ist der Ordner 'Startmenü' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü unter Windows NT und C:\Windows\Startmenü oder C:\Dokumente und Einstellungen\{Benutzername}\Startmenü unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Discardable\PostSetup\Component Categories\
{GUID}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Discardable\PostSetup\Component Categories\
{GUID}\Enum

HKEY_CURRENT_USER\Software\Microsoft\
Outlook Express\5.0\Shared Settings\
Setup\30002

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Discardable\PostSetup\Component Categories\
{GUID}
{random characters} = {hex values}

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\Feature Control\
FEATURE_BROWSER_EMULATION
{random name}.exe = "1f40"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\Feature Control\
FEATURE_GPU_RENDERING
{random name}.exe = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Outlook Express\5.0\Shared Settings\
Setup\30002
{random characters} = {hex values}

Ändert die folgenden Registrierungseinträge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(Note: The default value data of the said registry entry is 1.)

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Setzt die Sicherheitseinstellungen von Internet Explorer herab.

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

  • http://{BLOCKED}.{BLOCKED}4.2.20:8080/pgt/?ver={malware version}&id={malware id}&r={date & time}&os={Operating system, mshtml.dll version}&res={RAM (memory usage) and processor information}
  • http://{BLOCKED}5.{BLOCKED}.141.72:8080/pgt/?ver={malware version}&id={malware id}&r={date & time}&os={Operating system, mshtml.dll version}&res={RAM (memory usage) and processor information}
  • http://{BLOCKED}5.{BLOCKED}.141.146:8080/pgt/?ver={malware version}&id={malware id}&r={date & time}&os={Operating system, mshtml.dll version}&res={RAM (memory usage) and processor information}

Setzt die Attribute der eingeschleusten Dateien Versteckt und System:

  • %Application Data%\Microsoft\Windows\IEUpdate\{random name}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

  Lösungen

Mindestversion der Scan Engine: 9.700

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 5

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\PostSetup\Component Categories
    • {GUID}
  • In HKEY_CURRENT_USER\Software\Microsoft\Outlook Express\5.0\Shared Settings\Setup
    • 30002
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\PostSetup\Component Categories
    • {GUID}
  • In HKEY_CURRENT_USER\Software\Microsoft\Outlook Express\5.0\Shared Settings\Setup
    • 30002

Step 6

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • SCRNSAVE.EXE = "%Application Data%\Microsoft\Windows\IEUpdate\{random name}.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Command Processor
    • AutoRun = "%Application Data%\Microsoft\Windows\IEUpdate\{random name}.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • Run = "%Application Data%\Microsoft\Windows\IEUpdate\{random name}.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {random name} = "%Application Data%\Microsoft\Windows\IEUpdate\{random name}.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • {random name} = "%Application Data%\Microsoft\Windows\IEUpdate\{random name}.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Feature Control\FEATURE_BROWSER_EMULATION
    • {random name}.exe = "1f40"
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Feature Control\FEATURE_GPU_RENDERING
    • {random name}.exe = "1"

Step 7

Diesen geänderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

 
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: Hidden = "0"
      To: Hidden = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: ShowSuperHidden = "0"
      To: ShowSuperHidden = "1"

Step 8

Diese Ordner suchen und löschen

[ learnMore ]
Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.
  • %Application Data%\Microsoft\Windows\IEUpdate
  • %System Root%\Recycler\{User SID}\$ast-{User SID}\{random characters}.dat

Step 9

Diese Datei suchen und löschen

[ learnMore ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.
  • %Start Menu%\Programs\Startup\{random name}.lnk

Step 10

Sicherheitseinstellungen für das Internet wiederherstellen

[ learnMore ]

Step 11

Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als TROJ_ROPEST.WRX entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Nehmen Sie an unserer Umfrage teil