Analysé par: John Kevin Sanchez   

 

Backdoor.Win32.Ircbot.gen (v) (VIPRE), Backdoor.Win32.Ircbot.gen (v) (AVware)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Backdoor

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.

Ändert Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren. Dadurch kann diese Malware ihre Routinen ausführen, ohne von der Windows Firewall entdeckt zu werden.

  Détails techniques

File size: 1,675,264 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 26 avril 2018

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Temp%\{random filename}.exe

(Hinweis: %Temp% ist der Windows Ordner für temporäre Dateien, normalerweise C:\Windows\Temp oder C:\WINNT\Temp.)

Fügt die folgenden Prozesse hinzu:

  • explorer.exe

Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.

Autostart-Technik

Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
mcafee = "%Temp%\{random filename}.exe"

Die zeitgesteuerte Aufgabe führt die Malware in folgenden Intervallen aus:

  • At log on of any user

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random}.exe

HKEY_CURRENT_USER\Software\Win7zip

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random}.exe
Debugger = {random}.exe

Ändert die folgenden Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\PublicProfile
EnableFirewall = 0