RANSOM_SPORA.THCOK

Installation

Schleust eine Kopie von sich selbst in folgende Ordner ein, wobei verschiedene Dateinamen verwendet werden:

• {Fixed and Removable Drive Letter}:\{Random Values}.exe -> set attributes to Hidden
• %User Temp%\{Random Values}.exe - set attributes to Hidden
• %Desktop%\{Random Values}.exe -> set attributes to Hidden

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

• {Fixed and Removable Drive Letter}:\{Shortcut files with the filename of every folder in the removable and fixed drive}
  • The malware creates these shortcut files in order to trick the user due to its folder icon and legit filenames.
  • The target path of these shortcuts is set to: %System%\cmd.exe /c start explorer.exe “{folder name - where original files are stored}” & type "{Random Values}.exe - dropped copy of the malware" > "%temp%\{Random Values}.exe - dropped copy of the malware" && "%temp%\{Random Values}.exe - dropped copy of the malware"
• %Application Data%\{10 digit number}
• %Application Data%\{Unique ID}.html -> Ransom Note
• %Application Data%\Microsoft\Windows\Templates\{Unique ID}.html -> Ransom Note
• %Desktop%\{Unique ID}.html -> Ransom Note
• %User Profile%\{Unique ID}.html -> Ransom Note
• %User Profile%\Favorites\{Unique ID}.html -> Ransom Note
• %User Startup%\{Unique ID}.html -> Ransom Note, to enable automatic execution at system startup
• %AppDataLocal%\VirtualStore\{Unique ID}.html -> Ransom Note

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)