Analysé par: Joshua Paul Ignacio   
 

N/A

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Coinminer

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild::
    Oui

  Overview

Voie d'infection: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

Wird möglicherweise von anderer Malware eingeschleust.

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

  Détails techniques

File size: 72,473 bytes
File type: PS1
Memory resident: Oui
Date de réception des premiers échantillons: 31 mai 2020
Charge malveillante: Connects to URLs/IPs, Deletes files, Disables services, Steals information, Downloads files, Sends messages, Drops files, Terminates processes

Übertragungsdetails

Wird möglicherweise von der folgenden Malware eingeschleust:

Installation

Fügt die folgenden Ordner hinzu:

  • %Application Data%\url
  • %Application Data%\InfectUSB
  • %Application Data%\InfectOUTLOOK
  • {Drive Letter}:\System

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Dateien ein:

  • %Application Data%\Network
  • %Application Data%\InfectMacro
  • %Application Data%\sendContacts.txt
  • Copies %Application Data%\CV.accde to the following directories:
    • %User Profile%\SharePoint\
    • %User Profile%\SharePoint\personal\
    • %User Profile%\Dropbox\Public\
    • %User Profile%\OneDrive\Public\
    • %User Profile%\Google Drive\
    • {Drive Letter}:\System\
  • {Drive Letter}:\System\CheckIN.bat
  • {Drive Letter}:\System\Autorun.inf → executes CheckIN.BAT

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{user name} unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

  • For 32-bit:
    • "%All Users Profile%\x32\xmrig.exe -o stratum+tcp://xmr.crypto-pool.fr:9999 -u 4AHjQydQzMZeMT9BdokLCeVgdipLDM2UA8mvGti8mx33K7jXdTcMS2GBMH5BUBhHVTchV3uJCidgKWiWEmnYexbAPgdwZ5h -p n -k -B --max-cpu-usage=90 --donate-level=0"
  • For 64-bit:
    • "%All Users Profile%\x64\xmrig.exe -o stratum+tcp://xmr.crypto-pool.fr:9999 -u 4AHjQydQzMZeMT9BdokLCeVgdipLDM2UA8mvGti8mx33K7jXdTcMS2GBMH5BUBhHVTchV3uJCidgKWiWEmnYexbAPgdwZ5h -p n -k -B --max-cpu-usage=90 --donate-level=0"
  • Disable Windows Auto Update:
    • "%System%\sc.exe" config wuauserv start=disabled
    • "%System%\sc.exe" query wuauserv
    • "%System%\sc.exe" stop wuauserv
    • "%System%\sc.exe" query wuauserv
    • "%System%\reg.exe" QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv /v Start

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Andere Systemänderungen

Löscht die folgenden Dateien:

  • For 32-bit:
    • %All Users Profile%\x32\start.cmd
  • For 64-bit:
    • %All Users Profile%\x64\start.cmd

Verbreitung

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[autorun]
open=/System/CheckIN.BAT
[autorun.alpha]
open=/System/CheckIN.BAT
[AutoRun]
shellexecute=/System/CheckIN.BAT

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

  • AVAST
  • avg
  • mpssvc
  • SamSs
  • SecurityHealthService
  • WdNisSvc
  • WinDefend
  • wscsvc
  • wuauserv

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

  • _avp32.exe
  • _avpcc.exe
  • _avpm.exe
  • aAvgApi.exe
  • AAWTray.exe
  • abmainsv.exe
  • ackwin32.exe
  • Ad-Aware.exe
  • adaware.exe
  • advxdwin.exe
  • agentsvr.exe
  • agentw.exe
  • alertsvc.exe
  • alevir.exe
  • alogserv.exe
  • amon9x.exe
  • andnavapw32.exe
  • anti-trojan.exe
  • antivirservice.exe
  • antivirus.exe
  • ants.exe
  • apimonitor.exe
  • aplica32.exe
  • apvxdwin.exe
  • arr.exe
  • atcon.exe
  • atguard.exe
  • atro55en.exe
  • atupdater.exe
  • atwatch.exe
  • au.exe
  • aupdate.exe
  • auto-protect.nav80try.exe
  • autodown.exe
  • autotrace.exe
  • autoupdate.exe
  • avconsol.exe
  • ave32.exe
  • AVENGINE.EXE
  • aveservice.exe
  • avgcc32.exe
  • avgctrl.exe
  • avgemc.exe
  • avgemc.exe
  • avgnt.exe
  • avgrsx.exe
  • avgserv.exe
  • avgserv9.exe
  • avguard.exe
  • avgw.exe
  • avkpop.exe
  • avkproxy.exe
  • avkserv.exe
  • avkservice.exe
  • avkwctl9.exe
  • avltmain.exe
  • avnt.exe
  • avp.exe
  • avp.exe
  • avp32.exe
  • avpcc.exe
  • avpdos32.exe
  • avpm.exe
  • avptc32.exe
  • avpupd.exe
  • avsched32.exe
  • avsynmgr.exe
  • avwin.exe
  • avwin95.exe
  • avwinnt.exe
  • avwupd.exe
  • avwupd32.exe
  • avwupsrv.exe
  • avxmonitor9x.exe
  • avxmonitornt.exe
  • avxquar.exe
  • backweb.exe
  • bargains.exe
  • bd_professional.exe
  • bdss.exe
  • beagle.exe
  • belt.exe
  • bidef.exe
  • bidserver.exe
  • bipcp.exe
  • bipcpevalsetup.exe
  • bisp.exe
  • blackd.exe
  • blackice.exe
  • blink.exe
  • blss.exe
  • bootconf.exe
  • bootwarn.exe
  • borg2.exe
  • bpc.exe
  • brasil.exe
  • bs120.exe
  • bundle.exe
  • bvt.exe
  • ccapp.exe
  • ccevtmgr.exe
  • ccEvtMrg.exe
  • ccpxysvc.exe
  • ccSetMgr.exe
  • cdp.exe
  • cfd.exe
  • cfgwiz.exe
  • cfiadmin.exe
  • cfiaudit.exe
  • cfinet.exe
  • cfinet32.exe
  • cfp.ex
  • clamav.exe
  • claw95.exe
  • claw95cf.exe
  • clean.exe
  • cleaner.exe
  • cleaner3.exe
  • cleanpc.exe
  • click.exe
  • cmd.exe
  • cmd32.exe
  • cmesys.exe
  • cmgrdian.exe
  • cmon016.exe
  • connectionmonitor.exe
  • cpd.exe
  • cpf9x206.exe
  • cpfnt206.exe
  • ctrl.exe
  • cv.exe
  • cwnb181.exe
  • cwntdwmo.exe
  • datemanager.exe
  • dcomx.exe
  • defalert.exe
  • defscangui.exe
  • defwatch.exe
  • deputy.exe
  • divx.exe
  • dllcache.exe
  • dllreg.exe
  • doors.exe
  • dpf.exe
  • dpfsetup.exe
  • dpps2.exe
  • drwatson.exe
  • drweb32.exe
  • drwebupw.exe
  • dssagent.exe
  • dvp95.exe
  • dvp95_0.exe
  • ecengine.exe
  • efpeadm.exe
  • ekrn.exe
  • emsw.exe
  • ent.exe
  • esafe.exe
  • escanhnt.exe
  • escanv95.exe
  • espwatch.exe
  • ethereal.exe
  • etrustcipe.exe
  • evpn.exe
  • exantivirus-cnet.exe
  • exe.avxw.exe
  • expert.exe
  • explore.exe
  • f-agnt95.exe
  • f-prot.exe
  • f-prot95.exe
  • f-stopw.exe
  • fameh32.exe
  • fast.exe
  • fch32.exe
  • fih32.exe
  • findviru.exe
  • firewall.exe
  • fnrb32.exe
  • fp-win.exe
  • fp-win_trial.exe
  • fpavserver.exe
  • fprot.exe
  • frw.exe
  • fsaa.exe
  • fsav.exe
  • fsav32.exe
  • fsav32.exe
  • fsav530stbyb.exe
  • fsav530wtbyb.exe
  • fsav95.exe
  • fsdfwd.exe
  • fsgk32.exe
  • fsguiexe.exe
  • fsm32.exe
  • fsma.exe
  • fsma32.exe
  • fsmb32.exe
  • gator.exe
  • gbmenu.exe
  • gbpoll.exe
  • generics.exe
  • gmt.exe
  • guard.exe
  • guarddog.exe
  • hacktracersetup.exe
  • hbinst.exe
  • hbsrv.exe
  • hotactio.exe
  • hotpatch.exe
  • htlog.exe
  • htpatch.exe
  • hwpe.exe
  • hxdl.exe
  • hxiul.exe
  • iamapp.exe
  • iamserv.exe
  • iamstats.exe
  • ibmasn.exe
  • ibmavsp.exe
  • icload95.exe
  • icloadnt.exe
  • icmon.exe
  • icsupp95.exe
  • icsuppnt.exe
  • idle.exe
  • iedll.exe
  • iedriver.exe
  • iexplorer.exe
  • iface.exe
  • ifw2000.exe
  • ikarus-guardx.exe
  • immunetprotect.exe
  • inetlnfo.exe
  • infus.exe
  • infwin.exe
  • init.exe
  • intdel.exe
  • intren.exe
  • iomon98.exe
  • istsvc.exe
  • jammer.exe
  • jdbgmrg.exe
  • jedi.exe
  • kavlite40eng.exe
  • kavpers40eng.exe
  • kavpf.exe
  • kazza.exe
  • keenvalue.exe
  • kerio-pf-213-en-win.exe
  • kerio-wrl-421-en-win.exe
  • kerio-wrp-421-en-win.exe
  • kernel32.exe
  • killprocesssetup161.exe
  • klblmain.exe
  • launcher.exe
  • ldnetmon.exe
  • ldpro.exe
  • ldpromenu.exe
  • ldscan.exe
  • lnetinfo.exe
  • loader.exe
  • localnet.exe
  • lockdown.exe
  • lockdown2000.exe
  • lookout.exe
  • lordpe.exe
  • lsetup.exe
  • luall.exe
  • luau.exe
  • lucomserver.exe
  • luinit.exe
  • luspt.exe
  • mapisvc32.exe
  • mcagent.exe
  • mcmnhdlr.exe
  • MCODS
  • MCSHELL
  • mcshield.exe
  • MCSHIELDnisum.exe
  • mctool.exe
  • mcupdate.exe
  • mcvsrte.exe
  • mcvsshld.exe
  • md.exe
  • mfin32.exe
  • mfw2en.exe
  • mfweng3.02d30.exe
  • mgavrtcl.exe
  • mgavrte.exe
  • mghtml.exe
  • mgui.exe
  • minilog.exe
  • mmod.exe
  • monitor.exe
  • moolive.exe
  • mostat.exe
  • MPFAGENT
  • mpfagent.exe
  • MPFSERVICE
  • mpfservice.exe
  • mpftray.exe
  • mrflux.exe
  • msapp.exe
  • MSASCui.exe
  • msbb.exe
  • msblast.exe
  • mscache.exe
  • msccn32.exe
  • mscman.exe
  • msconfig.exe
  • msdm.exe
  • msdos.exe
  • msiexec16.exe
  • msinfo32.exe
  • mslaugh.exe
  • msmgt.exe
  • msmpeng.exe
  • msmpsvc.exe
  • msmsgri32.exe
  • MSSCLLI
  • mssmmc32.exe
  • mssys.exe
  • msvxd.exe
  • mu0311ad.exe
  • mwatch.exe
  • n32scanw.exe
  • nav.exe
  • navap.navapsvc.exe
  • navapsvc.exe
  • navapsvc.exe
  • navapw32.exe
  • navdx.exe
  • navlu32.exe
  • navnt.exe
  • navstub.exe
  • navw32.exe
  • navwnt.exe
  • nc2000.exe
  • ncinst4.exe
  • ndd32.exe
  • neomonitor.exe
  • neowatchlog.exe
  • netarmor.exe
  • netd32.exe
  • netinfo.exe
  • netmon.exe
  • netscanpro.exe
  • netspyhunter-1.2.exe
  • netstat.exe
  • netutils.exe
  • nisserv.exe
  • nisum.exe
  • nmain.exe
  • nod32.exe
  • normist.exe
  • norton_internet_secu_3.0_407.exe
  • notstart.exe
  • npf40_tw_98_nt_me_2k.exe
  • npfmessenger.exe
  • nprotect.exe
  • npscheck.exe
  • npssvc.exe
  • nsched32.exe
  • nssys32.exe
  • nstask32.exe
  • nsupdate.exe
  • nt.exe
  • ntrtscan.exe
  • ntrtscan.exe
  • ntvdm.exe
  • ntxconfig.exe
  • nui.exe
  • nupgrade.exe
  • nvarch16.exe
  • nvc95.exe
  • nvsrvc32.exe
  • nvsvc32.exe
  • nwinst4.exe
  • nwservice.exe
  • nwtool16.exe
  • ollydbg.exe
  • onsrvr.exe
  • optimize.exe
  • ostronet.exe
  • otfix.exe
  • outpost.exe
  • outpostinstall.exe
  • outpostproinstall.exe
  • padmin.exe
  • panixk.exe
  • patch.exe
  • pavcl.exe
  • pavproxy.exe
  • pavsched.exe
  • pavsrv.exe
  • pavw.exe
  • pccwin98.exe
  • pcfwallicon.exe
  • pcip10117_0.exe
  • pcscan.exe
  • pdsetup.exe
  • periscope.exe
  • persfw.exe
  • persfw.exe
  • perswf.exe
  • pf2.exe
  • pfwadmin.exe
  • pgmonitr.exe
  • pingscan.exe
  • platin.exe
  • pop3trap.exe
  • poproxy.exe
  • popscan.exe
  • portdetective.exe
  • portmonitor.exe
  • powerscan.exe
  • ppinupdt.exe
  • pptbc.exe
  • ppvstop.exe
  • prizesurfer.exe
  • prmt.exe
  • prmvr.exe
  • procdump.exe
  • processmonitor.exe
  • procexplorerv1.0.exe
  • programauditor.exe
  • proport.exe
  • protectx.exe
  • pshost.exe
  • pspf.exe
  • purge.exe
  • qconsole.exe
  • qserver.exe
  • rapapp.exe
  • rav7.exe
  • rav7win.exe
  • rav8win32eng.exe
  • ray.exe
  • rb32.exe
  • rcsync.exe
  • realmon.exe
  • reged.exe
  • regedit.exe
  • regedt32.exe
  • rescue.exe
  • rescue32.exe
  • rrguard.exe
  • rshell.exe
  • rtvscan.exe
  • rtvscn95.exe
  • rulaunch.exe
  • run32dll.exe
  • rundll.exe
  • rundll16.exe
  • ruxdll32.exe
  • safeweb.exe
  • sahagent.exe
  • save.exe
  • savenow.exe
  • savscan.exe
  • savservice.exe
  • SBAMSvc.exe
  • sbserv.exe
  • sc.exe
  • scam32.exe
  • scan32.exe
  • scan95.exe
  • scanpm.exe
  • scrscan.exe
  • serv95.exe
  • setup_flowprotector_us.exe
  • setupvameeval.exe
  • sfc.exe
  • sgssfw32.exe
  • sh.exe
  • shellspyinstall.exe
  • shn.exe
  • showbehind.exe
  • shServ.exe
  • smc.exe
  • sms.exe
  • smss32.exe
  • soap.exe
  • sofi.exe
  • sperm.exe
  • spf.exe
  • sphinx.exe
  • spoler.exe
  • spoolcv.exe
  • spoolsv32.exe
  • spyxx.exe
  • srexe.exe
  • srng.exe
  • ss3edit.exe
  • ssg_4104.exe
  • ssgrate.exe
  • st2.exe
  • start.exe
  • stcloader.exe
  • supftrl.exe
  • support.exe
  • supporter5.exe
  • svc.exe
  • svchostc.exe
  • svchosts.exe
  • svshost.exe
  • sweep95.exe
  • sweepnet.sweepsrv.sys.swnetsup.exe
  • symproxysvc.exe
  • symtray.exe
  • sysedit.exe
  • system.exe
  • system32.exe
  • sysupd.exe
  • taskmg.exe
  • taskmgr.exe
  • taskmo.exe
  • taskmon.exe
  • taumon.exe
  • tbscan.exe
  • tc.exe
  • tca.exe
  • tcm.exe
  • tds-3.exe
  • tds2-98.exe
  • tds2-nt.exe
  • teekids.exe
  • tfak.exe
  • tfak5.exe
  • tgbob.exe
  • titanin.exe
  • titaninxp.exe
  • tmntsrv.exe
  • tracert.exe
  • trickler.exe
  • trjscan.exe
  • trjsetup.exe
  • trojantrap3.exe
  • tsadbot.exe
  • tvmd.exe
  • tvtmd.exe
  • undoboot.exe
  • updat.exe
  • update.exe
  • upgrad.exe
  • utpost.exe
  • vbcmserv.exe
  • vbcons.exe
  • vbservprof.exe
  • vbust.exe
  • vbwin9x.exe
  • vbwinntw.exe
  • vcsetup.exe
  • vet32.exe
  • vet95.exe
  • vettray.exe
  • vfsetup.exe
  • vir-help.exe
  • virusmdpersonalfirewall.exe
  • vnlan300.exe
  • vnpc3000.exe
  • vpc32.exe
  • vpc42.exe
  • vpfw30s.exe
  • vptray.exe
  • vscan40.exe
  • vscenu6.02d30.exe
  • vsched.exe
  • vsecomr.exe
  • vshwin32.exe
  • vsisetup.exe
  • vsmain.exe
  • vsmon.exe
  • vsstat.exe
  • vswin9xe.exe
  • vswinntse.exe
  • vswinperse.exe
  • w32dsm89.exe
  • w9x.exe
  • watchdog.exe
  • webdav.exe
  • webscanx.exe
  • webtrap.exe
  • wfindv32.exe
  • whoswatchingme.exe
  • wimmun32.exe
  • win-bugsfix.exe
  • win32.exe
  • win32us.exe
  • winactive.exe
  • windefend.exe
  • window.exe
  • windows.exe
  • wininetd.exe
  • wininitx.exe
  • winlogin.exe
  • winmain.exe
  • winnet.exe
  • winppr32.exe
  • winrecon.exe
  • winservn.exe
  • winssk32.exe
  • winstart.exe
  • winstart001.exe
  • wintsk32.exe
  • winupdate.exe
  • wkufind.exe
  • wnad.exe
  • wnt.exe
  • wradmin.exe
  • wrctrl.exe
  • wsbgate.exe
  • wupdater.exe
  • wupdt.exe
  • wyvernworksfirewall.exe
  • xpf202en.exe
  • zapro.exe
  • zapsetup3001.exe
  • zatutor.exe
  • ZLCLIENT
  • zonalm2601.exe
  • zonealarm.exe
  • zmrig

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • For 32-bit:
    • %All Users Profile%\win32.zip
      • Extracts downloaded file's contents to:
        • %All Users Profile%\x32\
        • Containing the following files:
  • For 64-bit:
    • %All Users Profile%\win64.zip
      • Extracts downloaded file's contents to:
        • %All Users Profile%\x64\
        • Containing the following files:

Datendiebstahl

Speichert die gesammelten E-Mail-Adressen in den folgenden Dateien:

  • %Application Data%\Contacts.txt

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Details

It connects to the following possibly malicious URL:

  • https://{BLOCKED}d.ly/{BLOCKED}dia

Es macht Folgendes:

  • It disables the Windows Auto Update
  • It modifies the Windows Defender settings which does the following:
    • It allows threat detections to be ignored
    • It disables the following features:
      • Archive scanning
      • Auto-scan on downloaded files and attachments
      • Auto-update of definition updates on start-up
      • Behavior monitoring
      • Block at first seen
      • Microsoft Active Protection Service
      • Network protection against exploitation of known vulnerabilities
      • Privacy mode
      • Real-time monitoring
      • Script scanning
    • It adds the following directories to exclude during scheduled and real-time scanning:
      • %Public%\Libraries
      • For 32-bit:
        • %All Users Profile%\win32.zip
        • %All Users Profile%\x32\
        • %All Users Profile%\x32\xmrig-2.3.1-gcc-win32\xmrig-2.3.1-gcc-win32\xmrig-2.3.1
      • For 64-bit:
        • %All Users Profile%\win64.zip
        • %All Users Profile%\x64\
        • %All Users Profile%\x64\xmrig-2.3.1-gcc-win64\xmrig-2.3.1-gcc-win64\xmrig-2.3.1
    • It adds the following processes to exclude during scheduled and real-time scanning:
      • zmrig
      • zmrig.exe
    • It adds the following file extensions to exclude during scheduled and real-time scanning:
      • exe
      • .exe
    • It disables Windows Defender by modifying the following registry entry::
      • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
        • DisableAntiSpyware = 1
    • Adds the following registry keys to allow macro to be inserted on document files:
      • In HKEY_CURRENT_USER\Software\Microsoft\Office\{Version}\Excel\Security
        • AccessVBOM = 1
    • Adds the following registry keys to enable macros on document files:
      • In HKEY_CURRENT_USER\Software\Microsoft\Office\{Version}\Excel\Security
        • VBAWarnings = 1
  • It sends the following email to the gathered email addresses:
    • Subject: Job Application
    • Body:
      • Good Morning.
      I'm interesed in a job.
      I've attached a copy of my resume.
      Good Morning
    • Attachment/s: %Application Data%\CV.accde
  • Infect .docx and .xlsx files found on the affected machine by adding macros that:
    • Connects to the following URL(s) and downloads its component file:
      • http://{BLOCKED}xrkbiepyylgdcwrcjimxnfsrbgravivgbannnpnubawpdvekzbdbuqrd.{BLOCKED}.com.ua/uac.txt
    • Copies %Application Data%\CV.accde as %Application Data%\CVaccde
  • It creates an lnk file of the following extensions found on the Removable Drive:
    • .doc
    • .pdf
    • .xls
    • .ppt
      • {Original Filename}.lnk
        • Target Path: "%System%\WindowsPowerShell\v1.0\powershell.exe"
        • Argument: '-noprofile -windowstyle hidden -executionpolicy bypass Invoke-Item -Path "{Original Filename}"; Invoke-Item -Path \System\CheckIN.BAT'
      • After creating the .lnk version of the file, it will hide the original file by changing its attribute to Hidden.

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 15.904.06
First VSAPI Pattern Release Date: 01 juin 2020
VSAPI OPR Pattern Version: 15.905.00
VSAPI OPR Pattern Release Date: 02 juin 2020

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>

Step 3

Dateien erkennen und deaktivieren, die als Coinminer.PS1.MALXMR.MPN entdeckt wurden

[ learnMore ]
  1. Für Windows 98 und ME Benutzer: Der Windows Task-Manager zeigt möglicherweise nicht alle aktiven Prozesse an. Verwenden Sie in diesem Fall einen Prozess-Viewer eines Drittanbieters, vorzugsweise Process Explorer, um die Malware-/Grayware-/Spyware-Datei zu beenden. Dieses Tool können Sie hier.
    2. herunterladen.
  2. Wenn die entdeckte Datei im Windows Task-Manager oder Process Explorer angezeigt wird, aber nicht gelöscht werden kann, starten Sie Ihren Computer im abgesicherten Modus neu. Klicken Sie auf diesen Link, um alle erforderlichen Schritte anzuzeigen.
  3. Wenn die entdeckte Datei nicht im Windows Task-Manager oder im Process Explorer angezeigt wird, fahren Sie mit den nächsten Schritten fort.

Step 4

Restore this modified registry value

[ learnMore ]

Important: Editing the Windows Registry incorrectly can lead to irreversible system malfunction. Please do this only if you know how to or you can seek your system administrator’s help. You may also check out this Microsoft article first before modifying your computer's registry.

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    • From: DisableAntiSpyware = 1
      To: DisableAntiSpyware = 0

Step 5

Delete this registry key

[ learnMore ]

=Important: Editing the Windows Registry incorrectly can lead to irreversible system malfunction. Please do this only if you know how to or you can seek your system administrator’s help. You may also check out this Microsoft article first before modifying your computer's registry.

  • In HKEY_CURRENT_USER\Software\Microsoft\Office\{Version}\Excel\Security
    • AccessVBOM = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Office\{Version}\Excel\Security
    • VBAWarnings = 1

Step 6

  1. Öffnen Sie eine Befehlszeile.
    • Benutzer von Windows 2000, Windows XP und Windows Server 2003: Klicken Sie auf Start>Ausführen. Geben Sie im Feld "Öffnen" CMD ein, und drücken Sie dann die Eingabetaste.
    • Benutzer von Windows Vista und Windows 7: Klicken Sie auf Start, geben Sie CMD in das Eingabefeld Suche starten ein, und drücken Sie die Eingabetaste.
  2. Geben Sie an der CMD-Konsole Folgendes ein:

    ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I] [Laufwerk:][Pfad][Dateiname] [/S [/D] [/L]]

    Wobei Folgendes gilt:
    + Legt ein Attribut fest.
    - Löscht ein Attribut.
    R Attribut für schreibgeschützte Datei
    A Attribut für Archivdatei
    S Attribut für Systemdatei
    H Attribut für verborgene Datei
    I Attribut für unindiziert Datei
    [Laufwerk:][Pfad][Dateiname]
    Gibt eine Datei bzw. Dateien an, die durch "attrib" verarbeitet werden sollen.
    /S Verarbeitet die zutreffenden Dateien im aktuellen Ordner und allen Unterordnern.
    /D Verarbeitet Ordner
    /L Ändert Attribute des symbolischen Links statt des Ziels des symbolischen Links
    Beispiel:
    So blenden Sie alle Dateien und Ordner (einschließlich der Unterordner) in Laufwerk D: ein
    ATTRIB –H D:\* /S /D
  3. Wiederholen Sie Schritt 3 für Ordner und Dateien auf anderen Laufwerken oder in anderen Verzeichnissen.

Step 7

Makrosicherheit in Microsoft Office Anwendungen aktivieren

[ learnMore ]

Step 8

Diese Dateien suchen und löschen

[ learnMore ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.
  • %Application Data%\Network
  • %Application Data%\InfectMacro
  • %Application Data%\sendContacts.txt
  • %Application Data%\Contacts.txt
  • %Application Data%\CV.accde
  • %User Profile%\SharePoint\CV.accde
  • %User Profile%\SharePoint\personal\CV.accde
  • %User Profile%\Dropbox\Public\CV.accde
  • %User Profile%\OneDrive\Public\CV.accde
  • %User Profile%\Google Drive\CV.accde
  • {Drive Letter}:\System\CV.accde
  • {Drive Letter}:\System\CheckIN.bat
  • {Drive Letter}:\System\Autorun.inf
  • {Drive Letter}:\{Original Filename}.lnk

Step 9

Diese Ordner suchen und löschen

[ learnMore ]
Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.
  • %Application Data%\url
  • %Application Data%\InfectUSB
  • %Application Data%\InfectOUTLOOK
  • {Drive Letter}:\System

Step 10

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Coinminer.PS1.MALXMR.MPN entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Participez à notre enquête!