WORM_UPATRE.A
Trojan-Downloader.Win32.Upatre.gjkd (Kaspersky), Trojan:Win32/Pynamer.A!ac (Microsoft)
Windows
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Technische Details
Installation
Schleust die folgenden Dateien ein:
- %ProgramData%\{GUID}\driver.dat
- %ProgramData%\WindowsAppCertification\WindowHelperStorageHostSystemThread.ps1
- %ProgramData%\WindowsAppCertification\checker.vbs
- %ProgramData%\WindowsAppCertification\cert.cmd
- %ProgramData%\MicrosoftCorporation\Windows\Helpers\SecurityHeaIthService.exe
- %ProgramData%\MicrosoftCorporation\Windows\Helpers\SystemldleProcess.exe
- %ProgramData%\MicrosoftCorporation\Windows\Helpers\winIogon.exe
- {Malware Path}\CreateShortcut.vbs
- %User Startup%\Isass.lnk
- %System%\Tasks\Windows_Antimalware_Host
- %System%\Tasks\Windows_Antimalware_Host_Systm
(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %ProgramData%\MicrosoftCorporation\Windows\System32\Isass.exe
Erstellt die folgenden Ordner:
- %ProgramData%\MicrosoftCorporation
- %ProgramData%\WindowsAppCertification
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows_Antimalware_Host_Syst = %ProgramData%\MicrosoftCorporation\Windows\System32\Isass.exe
Verbreitung
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- {Removable Drive}\autorun.exe
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Download-Routine
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- %ProgramData%\{CB28D9D3-6B5D-4AFA-BA37-B4AFAABF70B8}\xmrig32.exe