Analyse von: Joselyn Canuela   

 

Trojan-Downloader.Win32.Upatre.gjkd (Kaspersky), Trojan:Win32/Pynamer.A!ac (Microsoft)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Worm

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Infektionsweg: Verbreitet sich über Flashdrives, Fallen gelassen von anderer Malware

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Technische Details

Dateigröße: 1,507,328 bytes
Dateityp: EXE
Erste Muster erhalten am: 16 Dezember 2017
Schadteil: Connects to URLs/IPs, Drops files

Installation

Schleust die folgenden Dateien ein:

  • %ProgramData%\{GUID}\driver.dat
  • %ProgramData%\WindowsAppCertification\WindowHelperStorageHostSystemThread.ps1
  • %ProgramData%\WindowsAppCertification\checker.vbs
  • %ProgramData%\WindowsAppCertification\cert.cmd
  • %ProgramData%\MicrosoftCorporation\Windows\Helpers\SecurityHeaIthService.exe
  • %ProgramData%\MicrosoftCorporation\Windows\Helpers\SystemldleProcess.exe
  • %ProgramData%\MicrosoftCorporation\Windows\Helpers\winIogon.exe
  • {Malware Path}\CreateShortcut.vbs
  • %User Startup%\Isass.lnk
  • %System%\Tasks\Windows_Antimalware_Host
  • %System%\Tasks\Windows_Antimalware_Host_Systm

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %ProgramData%\MicrosoftCorporation\Windows\System32\Isass.exe

Erstellt die folgenden Ordner:

  • %ProgramData%\MicrosoftCorporation
  • %ProgramData%\WindowsAppCertification

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows_Antimalware_Host_Syst = %ProgramData%\MicrosoftCorporation\Windows\System32\Isass.exe

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • {Removable Drive}\autorun.exe

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %ProgramData%\{CB28D9D3-6B5D-4AFA-BA37-B4AFAABF70B8}\xmrig32.exe