BKDR_ANDROM.ETIN

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Löscht Registrierungseinträge, so dass einige Anwendungen und Programme nicht ordnungsgemäß ausgeführt werden.

Diese Malware hat keine Verbreitungsroutine.

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

Übertragungsdetails

Wird möglicherweise von der folgenden Malware/Grayware/Spyware von externen Sites heruntergeladen:

• TROJ_PSINJECT.A

Wird möglicherweise von den folgenden externen Sites heruntergeladen:

• https://{BLOCKED}ndo.ru/favicon

Installation

Fügt die folgenden Prozesse hinzu:

• WerFault.exe (Windows Vista and above) / ctfmon.exe (Windows XP and below)
• msiexec.exe

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• Global\Mutex_4e1c16d7187ac191a832a41f7192645425dad5c792b76ed1dd7071926289ac66

Injiziert Code in die folgenden Prozesse:

• created WerFault.exe/ctfmon.exe
• created msiexec.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{UID} = "%System%\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\{random character}').{random character})));"

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Classes\
{random characters}
{random characters} = {base 64 encoded powershell command}

HKEY_CURRENT_USER\Software\Classes\
{random characters}
{UID} = {encrypted binary data}

HKEY_CURRENT_USER\Console\%SystemRoot%\
_system32_WIndowsPowerShell_v1.0_powershell.exe
WindowPosition = 4294905760

HKEY_CURRENT_USER\Console\%SystemRoot%\
_system32_WIndowsPowerShell_v1.0_powershell.exe
ScreenBufferSize = 65616

HKEY_CURRENT_USER\Console\%SystemRoot%\
_system32_WIndowsPowerShell_v1.0_powershell.exe
WindowSize = 65616

Löscht die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
taskmgr.exe
Debugger = "taskmgr.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{UID} = {where the data has the following strings}:

• "powershell"
• "-windowstyle hidden"
• "[Text.Encoding]::ASCII.GetString([Convert]::FromBase64String"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
COM+ = {current value}

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Start a Process
• Download a file directed by C&C server, save it as %User Temp%\KB{8 random numbers}.exe and execute it
• Copy %System%\cdosys.dll to %User Temp%\cdo{random number}.dll and load it
• Uninstall itself

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

• http://{Random Generated Domain}/nonc.so
• http://{BLOCKED}an.ru/q.php
• http://{BLOCKED}ano.ru/q.php

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• powershell.exe

Datendiebstahl

Folgende Daten werden gesammelt:

• Root Volume Serial Number
• Operating System Version
• Local IP Address
• Administrator privileges