PUA.Win32.INSTALLIQ.AL

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Ordner hinzu:

• %Program Files%\FinalMediaPlayer
• %User Temp%\pkg_{random}
• %User Temp%\is-{random}.tmp

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Dateien ein:

• %User Temp%\pkg_{random}\stub.log
• %User Temp%\pkg_{random}\wrapper.xml
• %User Temp%\pkg_{random}\autorun.txt
• %User Temp%\pkg_{random}\stub.log
• %User Temp%\pkg_{random}\timings.txt
• %User Temp%\pkg_{random}\{random}.log
• %AppDataLocalLow%\cookieman.exe
• %User Temp%\pkg_{random}\FMPSetup.exe
• %User Temp%\is-{random}.tmp\FMPSetup.tmp
• %User Temp%\is-{random}.tmp\_isetup\_shfoldr.dll
• %Program Files%\FinalMediaPlayer\unins000.dat
• %Program Files%\FinalMediaPlayer\is-{random}tmp
• %Program Files%\FinalMediaPlayer\3rdparty\ffmpeg\is-{random}.tmp
• %Common Programs%\FinalMediaPlayer\FinalMediaPlayer.lnk
• %Common Programs%\FinalMediaPlayer\Uninstall.lnk
• %Desktop%\FinalMediaPlayer.lnk
• %Common Start Menu%\FinalMediaPlayer.lnk
• %Application Data%\Microsoft\Internet Explorer\Quick Launch\FinalMediaPlayer.lnk

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\Desktop unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• {Malware Path}\{Malware Filename}.exe /wrapper /dir="%User Temp%\pkg_{random}" /pproc="cmd.exe"
• %User Temp%\pkg_{random}\FMPSetup.exe
• %User Temp%\is-{random}.tmp\FMPSetup.tmp /SL5="$1601E8,7373822,54272,%User Temp%\pkg_{random}\FMPSetup.exe"
• %Program Files%\FinalMediaPlayer\FinalMediaPlayer.exe -install
• %Program Files%\FinalMediaPlayer\FMPSetupFileAssociations.exe
• %Program Files%\internet explorer\iexplore.exe http://www.finalmediaplayer.com/installed.html?adm=1&ufh=off&v=20140804

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Freeze.com

HKEY_CURRENT_USER\Software\Bitberry

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}.{BLOCKED}liq.com/api/detectionrequest.aspx?keyid=1&shortname=finalmediaplayer&langid={id}