Trojan.W97M.EMOTET.MLDS
VBA/TrojanDownloader.Agent.RGB trojan(NOD32); Trojan-Downloader.VBA.Emotet(IKARUS);
Windows
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Detalles técnicos
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Instalación
Agrega los procesos siguientes:
- Powershell -w hidden -en {base-64 encoded command}
Rutina de descarga
Guarda los archivos que descarga con los nombres siguientes:
- %User Profile%\121.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario} y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}).
)Otros detalles
It connects to the following possibly malicious URL:
- http://{BLOCKED}ique.org/-/wv4y-6w5-3697/
- https://wlskdjfsa.{BLOCKED}ostapp.com/wp-admin/VbuFbbG/
- http://blog.{BLOCKED}avarici.com/wp-includes/fQbmzw/
- http://{BLOCKED}n.com/wp-admin/be19e6-le6fjr-256/
- http://bbv.{BLOCKED}ier.media/wp-includes/runyp-zsv8cv-3508006/