JAVA_QRAT.THIODAH

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %User Profile%\{Random Foldername 2}\{Random Filename}.{Random File Extension}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

• %User Temp%\hsperfdata_{username}\{Process ID} (4 Files)
• %ProgramData%\Oracle\Java\.oracle_jre_usage\{Random Numbers 1}.timestamp (2 Files)
• %System%\test.txt
• %User Profile%\{Random Foldername 1}\ID.txt
• %User Profile%\{Random Foldername 2}\ID.txt
• %User Temp%\{Random Filename}.reg

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein und führt sie aus:

• %User Temp%\_0.{Random Numbers}.class (2 Files)
• %User Temp%\Retrive{Random Numbers}.vbs (8 Files)

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• icacls.exe %All Users Profile%\Oracle\Java\.oracle_jre_usage\{Random Strings}.timestamp /grant "everyone":(OI)(CI)M
• cmd.exe /C cscript.exe %User Temp%\Retrive{Random Numbers}.vbs (8 Files)
• xcopy "%Program Files%\Java\jre1.8.0_111" "%Application Data%\Oracle\" /e
• reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v {Random Text} /t REG_EXPAND_SZ /d "\"%Application Data%\Oracle\bin\javaw.exe\" -jar \"%User Profile%\{Random Foldername 2}\{Random Filename}.{Random File Extension}\"" /f
• attrib +h "%User Profile%\{Random Foldername 2}\*.*"
• attrib +h "%User Profile%\{Random Foldername 2}"

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Random Name} = "%Application Data%\Oracle\bin\javaw.exe" -jar "%User Profile%\{Random Foldername 2}\{Random Filename}"

Andere Systemänderungen

Löscht die folgenden Dateien:

• %User Temp%\hsperfdata_{username}\{Process ID} (1 File)
• %User Temp%\Retrive{Random Numbers}.vbs (8 Files)

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)