TROJ_DROPPR.CNMP

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen. Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Übertragungsdetails

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Installation

Schleust die folgenden Dateien ein:

• %Application Data%\Local\Intel\Intel Volume\7za.txt
• %Application Data%\Local\Intel\Intel Volume\code.txt
• %Application Data%\Local\Intel\Intel Volume\icon\excel.ico
• %Application Data%\Local\Intel\Intel Volume\icon\pdf.ico
• %Application Data%\Local\Intel\Intel Volume\icon\ppt.ico
• %Application Data%\Local\Intel\Intel Volume\icon\Thumbs.db
• %Application Data%\Local\Intel\Intel Volume\icon\word.ico
• %Application Data%\Local\Intel\Intel Volume\Information.zip
• %Application Data%\Local\Intel\Intel Volume\IntelRST.zip
• %Application Data%\Local\Intel\Intel Volume\Mono.Cecil.dll
• %Application Data%\Local\Intel\Intel Volume\Stub\do.vine
• %Application Data%\Local\Intel®\{original filename}_Url_uow1tgattnjbm0z1ejzd33plxam4i3vs\1.6.0.0\user.config
• %Application Data%\Local\scout\code.txt
• %Application Data%\Local\scout\Information.zip
• %Application Data%\Local\scout\IntelRST.zip
• {Malware Path}\RELIEF OF CLK (SD).docx

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust folgende Komponentendateien ein:

• %System%\Tasks\Intel® RST ← scheduled task for IntelRST.exe
• %System%\Tasks\scout ← scheduled task for scout.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Erstellt die folgenden Ordner:

• %Application Data%\Local\Intel
• %Application Data%\Local\Intel®
• %Application Data%\Local\scout
• %Application Data%\Local\Intel\Intel Volume\Lab
• %Application Data%\Local\Intel\Intel Volume\z

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %Application Data%\Local\Intel\Intel Volume\IntelRST.exe
• %Application Data%\Local\scout\scout.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.