VBS_DLOADR.YYSVC
VBS/DwnLdr-UZE (Sophos)
Windows
Malware-Typ:
Trojan
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Leitet Dateien durch Hinzufügen bestimmter Registrierungseinträge um. Dadurch kann diese Malware ausgeführt werden, auch wenn andere Anwendungen geöffnet sind.
Ändert Sicherheitseinstellungen von Internet Explorer. Hierdurch ist der betroffene Computer stärker gefährdet, da er auf bösartige URLs zugreifen kann.
Technische Details
Installation
Schleust die folgenden Dateien ein:
- %ProgramData%\{random letters}\System
- %ProgramData%\{random numbers}.exe
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %ProgramData%\{random letters}\{random letters}.vbs
Autostart-Technik
Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:
HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
ChromeUpdater = %ProgramData%\{random numbers}.exe
Leitet Dateien um, damit sie beim Zugriff auf bestimmte Dateitypen ausgeführt wird, indem sie die folgenden Einträge hinzufügt:
HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"
HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"
HKLM\SOFTWARE\Classes\
{random letters}\shell\runas
HasLUAShield = {Default}
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKLM\SOFTWARE\Classes\
{random letters}
HKLM\SOFTWARE\Classes\
{random letters}\shell
HKLM\SOFTWARE\Classes\
{random letters}\shell\open
HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command
HKLM\SOFTWARE\Classes\
{random letters}\shell\runas
HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command
HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon
HKLM\SOFTWARE\Classes\
.
HKCU\Software\Vaalberit
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon
{Default} = %1
HKCU\Software\Vaalberit
black = !TEST.EXE!
HKCU\Software
Vaalberit = {random letters}
HKLM\SOFTWARE\Classes\
.exe
{Default} = {random letters}
HKLM\SOFTWARE\Classes\
.
{Default} = exefile
HKCU\Software\Vaalberit
black = 0!0
Änderung der Startseite von Webbrowser und Suchseite
Ändert Zoneneinstellungen von Internet Explorer.
Download-Routine
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- %ProgramData%\{random letters}\{random alphanumeric characters}.exe