WORM_PHULLI.B
Trojan.Luminrat (Symantec) ; Mal/MSIL-TH (Sophos)
Windows
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Technische Details
Installation
Schleust die folgenden Dateien ein:
- %All Users Profile%\Microsoft\RAC\StateData\RacWmiDataBookmarks.dat
- %All Users Profile%\Microsoft\RAC\StateData\RacWmiEventData.dat
- %AppDataLocal%Low\Microsoft\CryptnetUrlCache\Content\94308059B57B3142E455B38A6EB92015
- %Application Data%\conhost\Guard\1
- %Application Data%\conhost\Screenshots\{DATE}\{TIME}
- %Application Data%\hawkeye.exe
- %Application Data%\rat.exe
- %Application Data%\svchost.exe
- %Application Data%\Windows Update.exe
- %Program Files%\Client\svchost.exe
- %System%\clientmonitor.exe
- %System%\Tasks\adorbe
- %User Temp%\1934
- %User Temp%\3742
- %User Temp%\3919
- %User Temp%\4445
- %User Temp%\5185
- %User Temp%\7635
- %User Temp%\8280
- %User Temp%\8856
- %Windows%\Temp\fwtsqmfile01.sqm
- %User Startup%\BGInfo.lnk
- %Application Data%\conhost\Logs\07-03-2018
- {Removable Drive}\autorun.inf
- {Removable Drive}\Sys.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)
Erstellt die folgenden Ordner:
- %Application Data%\conhost\Logs
- %Application Data%\conhost\Files
- %Application Data%\conhost\Screenshot
- %Application Data%\conhost\Guard
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_CURRENT_USER\Software
PTH = "%Program Files%\Client\svchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
shell = "explorer.exe,"%System%\clientmonitor.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Schedule\
TaskCache\Tree\adorbe
Index = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
adorbe = "cmd /c "start "adorbe" "%Program Files%\Client\svchost.exe""