RANSOM_KRAKEN.THHBBAH

Installation

Schleust die folgenden Dateien ein:

• %User Temp%\{Random Hex}.{Random 3 Hex}.bat -> deletes the malware copy and the .bat
• %ProgramData%\Release.bat
• %ProgramData%\sdel.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• cmd.exe", "/C sc config eventlog start=disabled
• cmd.exe", "/C REG add \"HKLM\SYSTEM\CurrentControlSet\services\eventlog\" / v Start / t REG_DWORD / d 4 / f
• tasklist" /V /FO CSV

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• Kraken

Beendet sich selbst, wenn die folgenden Prozesse im Speicher des betroffenen Systems gefunden werden:

• Sysinternals: www.sysinternals.com
• wireshark
• EtherD
• EtherDetect
• The Wireshark Network Analyzer
• dumpcap
• sysAnalyzer
• TCPView
• C:\Program Files\Wireshark\
• NETSTAT
• sniff_hit

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Console
WordLoad = 1

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• agntsvcagntsvc
• agntsvcencsvc
• agntsvcisqlplussvc
• dbeng50
• dbsnmp
• firefoxconfig
• msftesql
• mydesktopqos
• mydesktopservice
• mysqld
• mysqld-nt
• mysqld-opt
• ocomm
• ocssd
• oracle
• sqbcoreservice
• sqlagent
• sqlbrowser
• sqlservr
• sqlwriter
• sqlwb
• synctime
• tbirdconfig
• xfssvccon
• notepad