Analysé par: Jeanne Jocson   
 

Java/Adwind.WX (ESET)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview


  Détails techniques

File size: 1,154,207 bytes
File type: JAR
Date de réception des premiers échantillons: 02 août 2016

Installation

Schleust eine Kopie von sich selbst in folgende Ordner ein, wobei verschiedene Dateinamen verwendet werden:

  • %User Profile%\JDHDjdjhdHSdd\fkfkfJHDSHDgd.fkdihdLKD

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein und führt sie aus:

  • %User Temp%\NYdxYINIkY3108010927240480944.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

  • cmd.exe /c %User Temp%\NYdxYINIkY3108010927240480944.exe -f %User Temp%\mgPAUlXdXk7506812627855498900.txt
  • cmd.exe /C cscript.exe %User Temp%\Retrive{random numbers}.vbs

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner und legt für diese die Attribute System und Versteckt fest, um zu verhindern, dass die darin befindlichen Komponenten von Benutzern entdeckt und entfernt werden:

  • %User Profile%\JDHDjdjhdHSdd

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
DKDKudkjd = "%Application Data%\Oracle\bin\javaw.exe" -jar "%User Profile%\JDHDjdjhdHSdd\fkfkfJHDSHDgd.fkdihdLKD"

Einschleusungsroutine

Schleust die folgenden Dateien ein:

  • Drops files:
  • %User Temp%\Retrive{random numbers}.vbs
  • %System%\test.txt
  • %User Profile%\JDHDjdjhdHSdd\ID.txt
  • %User Temp%\Windows6033402269128687774.dll
  • %User Profile%\JDHDjdjhdHSdd\FDKkdKD\IlOciRpaHN.djmcjkHS
  • %User Temp%\NYdxYINIkY3108010927240480944.exe
  • %User Temp%\mgPAUlXdXk7506812627855498900.txt

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)