Analysé par: Mohammed Malubay   
 

Trojan-Downloader.Win32.Delf(IKARUS); Trojan.Win32.Vemptik.hfs(KASPERSKY);

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Backdoor

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Voie d'infection: Aus dem Internet heruntergeladen

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Diese Malware hat keine Verbreitungsroutine.

Verbirgt Dateien, Prozesse und/oder Registrierungseinträge.

  Détails techniques

File size: 2,801,664 bytes
File type: Other
Date de réception des premiers échantillons: 18 mai 2020
Charge malveillante: Connects to URLs/IPs, Steals information, Hides files and processes, Drops files

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Ordner hinzu:

  • %System Root%\RECYCLER
  • %Windows%\AppPatch
  • %Windows%\AppPatch\Custom
  • %Program Files%\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Schleust die folgenden Dateien ein:

  • %Windows%\AppPatch\Ke583427.xsl → shellcode detected as Trojan.Win32.FUPORPLEX.ENC
  • One of the following: → winupdate32.log (if OS is x32), winupdate64.log (if OS is x64)
    • %Windows%\sens.dll
    • %Windows%\cscdll.dll
  • One of the following:
    • %Windows%\AppPatch\Acpsens.dll → copy of legit %Windows%\sens.dll
    • %Windows%\AppPatch\Acpcscdll.dll → copy of legit %Windows%\cscdll.dll
  • %Windows%\AppPatch\Ke{6 random numbers}.xsl → copy of %Windows%\AppPatch\Ke583427.xsl
  • %Windows%\AppPatch\Ac{Characters based on C: volume serial number}.sdb → copy of %Windows%\AppPatch\Ke583427.xsl
  • %Windows%\AppPatch\Custom\{7 random characters}.tmp → copies of its components
  • %System%\Ms{Characters based on C: volume serial number}App.dll → detected as Trojan.Win32.FUPORPLEX.AF
  • %System%\drivers\dump_{random hex strings}.sys

Fügt die folgenden Prozesse hinzu:

  • netsh interface ipv6 install
  • netsh ipsec static add policy name=qianye
  • netsh ipsec static add filterlist name=Filter1
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=21 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=2222 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=3333 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=4444 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=5555 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=6666 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=7777 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=8443 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=8888 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9000 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9999 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=14443 protocol=TCP
  • netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=14444 protocol=TCP
  • netsh ipsec static add filteraction name=FilteraAtion1 action=block
  • netsh ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1
  • netsh ipsec static set policy name=qianye assign=y
  • %System%\svchost.exe -k NetworkService
  • %System%\svchost.exe -k LocalService

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Andere Systemänderungen

Löscht die folgenden Dateien:

  • One of the following:
    • %Windows%\AppPatch\Acpsens.dll
    • %Windows%\AppPatch\Acpcscdll.dll
  • One of the following:
    • %Windows%\sens.dll
    • %Windows%\cscdll.dll
  • %System%\Ms{Characters based on C: volume serial number}App.dll
  • %System%\ms{random characters}es{3 random characters}
  • %System%\ms{random characters}ex{3 random characters}
  • %Windows%\ms{random characters}es{3 random characters}
  • %Windows%\ms{random characters}ex{3 random characters}
  • %Windows%\{7 random characters}.tmp
  • .m{2 random characters} files in %Windows%\AppPatch\Custom\
  • .mow files in %Windows%\AppPatch\Custom\
  • .tmp files in %Windows%\AppPatch\Custom\
  • .tmp files in %Windows%\AppPatch\
  • .xsl files in %Windows%\AppPatch\

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Löscht die folgenden Ordner:

  • %System Root%\RECYCLER

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\Software\SoundResearch
UpdaterLastTimeChecked1 = 1

HKEY_LOCAL_MACHINE\Software\SoundResearch
UpdaterLastTimeChecked2 = 2

HKEY_LOCAL_MACHINE\Software\SoundResearch
UpdaterLastTimeChecked3 = 3

HKEY_LOCAL_MACHINE\Software\Microsoft\
DirectPlay8\Direct3D
{hex values} = {hex values}

HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
Type = 32

HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
ErrorControl = 1

HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
DependOnService = FltMgr

HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
DisplayName = Ms{Characters based on C: volume serial number}App

HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
Description = Ms{Characters based on C: volume serial number}App

HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
ObjectName = LocalSystem

HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
Group = UIGroup

HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App\Parameters
ServiceMain = ServiceMain

HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App\Parameters
ServiceDll = %System%\Ms{Characters based on C: volume serial number}App.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Svchost
netsvcs = {add "Ms{Characters based on C: volume serial number}App" among the list}

HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App
ImagePath = %System%\svchost.exe -k netsvcs

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Rootkit-Funktionen

Verbirgt Dateien, Prozesse und/oder Registrierungseinträge.

Datendiebstahl

Folgende Daten werden gesammelt:

  • Current Date
  • MAC Address
  • System's service pack
  • Volume Serial-ID

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\Software\SoundResearch

HKEY_LOCAL_MACHINE\Software\Microsoft\
DirectPlay8\Direct3D

HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App

HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\
services\Ms{Characters based on C: volume serial number}App\Parameters

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 15.882.04
First VSAPI Pattern Release Date: 21 mai 2020
VSAPI OPR Pattern Version: 15.883.00
VSAPI OPR Pattern Release Date: 22 mai 2020

Step 2

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>

Step 4

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

 
  • In HKEY_LOCAL_MACHINE\Software\SoundResearch
    • UpdaterLastTimeChecked1 = 1
  • In HKEY_LOCAL_MACHINE\Software\SoundResearch
    • UpdaterLastTimeChecked2 = 2
  • In HKEY_LOCAL_MACHINE\Software\SoundResearch
    • UpdaterLastTimeChecked3 = 3
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D
    • {hex values} = {hex values}
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
    • Type = 32
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
    • Start = 2
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
    • ErrorControl = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
    • DependOnService = FltMgr
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
    • DisplayName = Ms{Characters based on C: volume serial number}App
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
    • Description = Ms{Characters based on C: volume serial number}App
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
    • ObjectName = LocalSystem
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
    • ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
    • Group = UIGroup
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App\Parameters
    • ServiceMain = ServiceMain
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App\Parameters
    • ServiceDll = %System%\Ms{Characters based on C: volume serial number}App.dll
  • In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender
    • DisableAntiSpyware = 1
  • In HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows Defender
    • DisableAntiSpyware = 1
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    • SFCDisable = 4
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    • SFCScan = 0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
    • AllowProtectedRenames = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Minimal\Ms{Characters based on C: volume serial number}App
    • (Default) = Service
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Network\Ms{Characters based on C: volume serial number}App
    • (Default) = Service
  • In HKEY_LOCAL_MACHINE\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Minimal\dump_{random hex strings}
    • (Default) = Service
  • In HKEY_LOCAL_MACHINE\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Network\dump_{random hex strings}
    • (Default) = Service

Step 5

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\Software\SoundResearch
    • HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D\
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App
    • HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\services\Ms{Characters based on C: volume serial number}App\Parameters
  • In HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Minimal\Ms{Characters based on C: volume serial number}App
    • HKEY_LOCAL_MACHINE\SYSTEM\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Network\Ms{Characters based on C: volume serial number}App
  • In HKEY_LOCAL_MACHINE\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Minimal\dump_{random hex strings}
    • HKEY_LOCAL_MACHINE\{ControlSet001 or CurrentControlSet}\Control\SafeBoot\Network\dump_{random hex strings}

Step 6

Diese Datei suchen und löschen

[ learnMore ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.
  • %System%\Ms{Characters based on C: volume serial number}App.dll
  • %Windows%\AppPatch\Ac{Characters based on C: volume serial number}.sdb
  • %Windows%\AppPatch\Custom\{7 random characters}.tmp
  • %Windows%\AppPatch\Custom\{random hex strings}.moe
  • %Windows%\AppPatch\Ke{6 random numbers}.xsl
  • %System%\drivers\dump_{random hex strings}.sys

Step 7

Diesen Ordner suchen und löschen

[ learnMore ]
Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.
  • %Program Files%\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH
  • %System%\RECYCLER

Step 8

Restore this file from backup only Microsoft-related files will be restored. If this malware/grayware also deleted files related to programs that are not from Microsoft, please reinstall those programs on you computer again.

  • if %Windows%\AppPatch\Acpsens.dll exists:
    • restore %Windows%\sens.dll
  • if %Windows%\AppPatch\Acpcscdll.dll exists:
    • restore %Windows%\cscdll.dll

Step 9

Diesen geänderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

Remove "Ms{Characters based on C: volume serial number}App" among the list on the following registry entries:
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
    • netsvcs = {a list of services}

Step 10

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Backdoor.Win32.FUPORPLEX.B entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Participez à notre enquête!