Analysé par: Neljorn Nathaniel Aguas   
 

PUA/OfferCore.Gen (ANTIVIR)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Potentially Unwanted Application

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui


  Détails techniques

File size: 1,734,816 bytes
File type: EXE
Memory resident: Non
Date de réception des premiers échantillons: 31 août 2023
Charge malveillante: Connects to URLs/IPs, Drops files

Installation

Schleust die folgenden Dateien ein:

  • %User Temp%\is-{Random Characters 1}.tmp\{Malware File Name}.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 2}.tmp\is-{Random Characters 3}.tmp → Renamed afterwards to file_.exe
  • %User Temp%\is-{Random Characters 4}.tmp\file_.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 5}.tmp\botva2.dll → Deleted afterwards
  • %User Temp%\is-{Random Characters 5}.tmp\Helper.dll → Deleted afterwards

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

  • "%User Temp%\is-{Random Characters 1}.tmp\{Malware File Name}.tmp" /SL5="$1F05E8,831488,831488,{Malware Path}\{Malware File Name}.exe"
  • "%User Temp%\is-{Random Characters 2}.tmp\file_.exe" /LANG=en /NA=Rh85hR64
  • "%User Temp%\is-{Random Characters 4}.tmp\file_.tmp" /SL5="$2F05AA,1559708,780800,%User Temp%\is-{Random Characters 2}.tmp\file_.exe" /LANG=en /NA=Rh85hR64

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Erstellt die folgenden Ordner:

  • %User Temp%\is-{Random Characters 1}.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 2}.tmp
  • %User Temp%\is-{Random Characters 2}.tmp\_isetup
  • %User Temp%\is-{Random Characters 4}.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 5}.tmp → Deleted afterwards
  • %User Temp%\is-{Random Characters 5}.tmp\_isetup → Deleted afterwards

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
Owner = {Hex Values}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
SessionHash = {Hex Values}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
Sequence = 1

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0001
Owner = {Hex Values} → Deleted afterwards

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0001
SessionHash = {Hex Values} → Deleted afterwards

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0001
Sequence = 1 → Deleted afterwards

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
{Hash Value}
Blob = {Hex Values}

Andere Details

It connects to the following possibly malicious URL:

  • http://{BLOCKED}9k18f2wb.cloudfront.net
  • http://{BLOCKED}ha0gj0a4.cloudfront.net