Analyse von: Kiyoshi Obuchi   
 

Trojan.Luminrat (Symantec) ; Mal/MSIL-TH (Sophos)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Worm

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick


  Technische Details

Dateigröße: 2,202,584 bytes
Dateityp: EXE
Erste Muster erhalten am: 31 März 2017

Installation

Schleust die folgenden Dateien ein:

  • %All Users Profile%\Microsoft\RAC\StateData\RacWmiDataBookmarks.dat
  • %All Users Profile%\Microsoft\RAC\StateData\RacWmiEventData.dat
  • %AppDataLocal%Low\Microsoft\CryptnetUrlCache\Content\94308059B57B3142E455B38A6EB92015
  • %Application Data%\conhost\Guard\1
  • %Application Data%\conhost\Screenshots\{DATE}\{TIME}
  • %Application Data%\hawkeye.exe
  • %Application Data%\rat.exe
  • %Application Data%\svchost.exe
  • %Application Data%\Windows Update.exe
  • %Program Files%\Client\svchost.exe
  • %System%\clientmonitor.exe
  • %System%\Tasks\adorbe
  • %User Temp%\1934
  • %User Temp%\3742
  • %User Temp%\3919
  • %User Temp%\4445
  • %User Temp%\5185
  • %User Temp%\7635
  • %User Temp%\8280
  • %User Temp%\8856
  • %Windows%\Temp\fwtsqmfile01.sqm
  • %User Startup%\BGInfo.lnk
  • %Application Data%\conhost\Logs\07-03-2018
  • {Removable Drive}\autorun.inf
  • {Removable Drive}\Sys.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Erstellt die folgenden Ordner:

  • %Application Data%\conhost\Logs
  • %Application Data%\conhost\Files
  • %Application Data%\conhost\Screenshot
  • %Application Data%\conhost\Guard

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software
PTH = "%Program Files%\Client\svchost.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
shell = "explorer.exe,"%System%\clientmonitor.exe""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Schedule\
TaskCache\Tree\adorbe
Index = "3"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
adorbe = "cmd /c "start "adorbe" "%Program Files%\Client\svchost.exe""