BKDR_CHOSZ.E

Voie d'infection: Fallen gelassen von anderer Malware

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird. However, as of this writing, the said sites are inaccessible.

File size: 131,584 bytes

File type: DLL

Memory resident: Oui

Date de réception des premiers échantillons: 27 septembre 2012

Charge malveillante: Connects to URLs/IPs, Compromises system security, Collects system information, Logs keystrokes, Downloads files

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

{All User's Profile}\Application Data\mspool.dll

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
Description = "Windows mspool service."

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
DisplayName = "mspool"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
ImagePath = "%SystemRoot%\system32\svchost.exe -k LocalService"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool\Parameters
ServiceDll = "{All User's Profile}\Application Data\mspool.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool\Parameters
ServiceMain = BofMrf

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool\Enum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mspool\Security

HKEY_LOCAL_MACHINE\Classes\SS

HKEY_LOCAL_MACHINE\Classes\SS\
PROXY

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
LocalService = "{Default values} mspool"

(Note: The default value data of the said registry entry is {Default values}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths
Directory = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5"

(Note: The default value data of the said registry entry is %Temporary Internet Files%\Content.IE5.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path1
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"

(Note: The default value data of the said registry entry is %Temporary Internet Files%\Content.IE5\Cache1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path2
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"

(Note: The default value data of the said registry entry is %Temporary Internet Files%\Content.IE5\Cache2.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path3
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"

(Note: The default value data of the said registry entry is %Temporary Internet Files%\Content.IE5\Cache3.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path4
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"

(Note: The default value data of the said registry entry is %Temporary Internet Files%\Content.IE5\Cache4.)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cookies = "%System Root%\Documents and Settings\LocalService\Cookies"

(Note: The default value data of the said registry entry is %System Root%\Documents and Settings\NetworkService\Cookies.)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cache = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files"

(Note: The default value data of the said registry entry is %System Root%\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files.)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
History = "%System Root%\Documents and Settings\LocalService\Local Settings\History"

(Note: The default value data of the said registry entry is %System Root%\Documents and Settings\NetworkService\Local Settings\History .)

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

Download files
Get drive information
Get system information
Log keystrokes and active window
Manage files and folders
Manage processes
Manage registry
Manage services
Perform remote shell

However, as of this writing, the said sites are inaccessible.

Moteur de scan minimum: 9.200

First VSAPI Pattern File: 9.426.04

First VSAPI Pattern Release Date: 27 septembre 2012

VSAPI OPR Pattern Version: 9.427.00

VSAPI OPR Pattern Release Date: 28 septembre 2012

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als BKDR_CHOSZ.E entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 4

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_LOCAL_MACHINE\Classes\SS
- PROXY
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- mspool

Step 5

Diesen geänderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
- From: LocalService = "{Default values} mspool"
  To: LocalService = {Default values}
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths
- From: Directory = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5"
  To: Directory = %Temporary Internet Files%\Content.IE5
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1
- From: CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
  To: CachePath = %Temporary Internet Files%\Content.IE5\Cache1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2
- From: CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
  To: CachePath = %Temporary Internet Files%\Content.IE5\Cache2
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3
- From: CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
  To: CachePath = %Temporary Internet Files%\Content.IE5\Cache3
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4
- From: CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
  To: CachePath = %Temporary Internet Files%\Content.IE5\Cache4
In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- From: Cookies = "%System Root%\Documents and Settings\LocalService\Cookies"
  To: Cookies = %System Root%\Documents and Settings\NetworkService\Cookies
In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- From: Cache = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files"
  To: Cache = %System Root%\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- From: History = "%System Root%\Documents and Settings\LocalService\Local Settings\History"
  To: History = %System Root%\Documents and Settings\NetworkService\Local Settings\History

Den Registrierungswert wiederherstellen, den diese Malware/Grayware/Spyware geändert hat:

Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start > Ausführen, geben Sie REGEDIT ein, und drücken Sie dann die Eingabetaste.
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>SvcHost
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
LocalService = "{Default values} mspool"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
LocalService = {Default values}
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Internet Settings>Cache>Paths
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
Directory = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
Directory = %Temporary Internet Files%\Content.IE5
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Internet Settings>Cache>Paths>path1
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
CachePath = %Temporary Internet Files%\Content.IE5\Cache1
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Internet Settings>Cache>Paths>path2
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
CachePath = %Temporary Internet Files%\Content.IE5\Cache2
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Internet Settings>Cache>Paths>path3
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
CachePath = %Temporary Internet Files%\Content.IE5\Cache3
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Internet Settings>Cache>Paths>path4
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
CachePath = %Temporary Internet Files%\Content.IE5\Cache4
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_USERS>.DEFAULT>Software>Microsoft>Windows>CurrentVersion>Explorer>Shell Folders
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
Cookies = "%System Root%\Documents and Settings\LocalService\Cookies"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
Cookies = %System Root%\Documents and Settings\NetworkService\Cookies
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
Cache = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
Cache = %System Root%\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
History = "%System Root%\Documents and Settings\LocalService\Local Settings\History"
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und wählen Sie Ändern. Ändern Sie den Wert dieses Eintrags in:
History = %System Root%\Documents and Settings\NetworkService\Local Settings\History
Schließen Sie den Registrierungs-Editor.

Step 6

Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als BKDR_CHOSZ.E entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Participez à notre enquête!

Overview

Détails techniques

Solutions

Ressources

Support

À propos de Trend

Siège social national

BKDR_CHOSZ.E

Overview

Détails techniques

Solutions

Ressources

Support

À propos de Trend

Siège social national

Amérique

Moyen-Orient et Afrique

Europe

Asie-Pacifique