Analysé par: Christopher Daniel So   
 

Mal/FakeAV-MQ (Sophos), W32/Kryptik!tr (Fortinet)

 Plate-forme:

Windows 2000, XP, Server 2003, Windows Vista, Windows 7

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview


  Détails techniques

File size: 403,968 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 15 décembre 2011

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Application Data%\{random file name}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

  • %Application Data%\evbddw7f6atf7qed4htn3p130l6k
  • %System Root%\Documents and Settings\All Users\Application Data\evbddw7f6atf7qed4htn3p130l6k
  • %User Temp%\evbddw7f6atf7qed4htn3p130l6k
  • %User Profile%\Templates\evbddw7f6atf7qed4htn3p130l6k

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Beendet die Ausführung der zunächst ausgeführten Kopie und führt stattdessen die eingeschleuste Kopie aus.

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CLASSES_ROOT\{random key}

HKEY_CLASSES_ROOT\.exe\DefaultIcon

HKEY_CLASSES_ROOT\.exe\shell

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CLASSES_ROOT\{random key}
(Default) = "Application"

HKEY_CLASSES_ROOT\{random key}
Content Type = "application/x-msdownload"

HKEY_CLASSES_ROOT\{random key}\DefaultIcon
(Default) = "%1"

HKEY_CLASSES_ROOT\{random key}\shell\
open\command
(Default) = ""%Application Data%\{random file name}.exe" -a "%1" %*"

HKEY_CLASSES_ROOT\{random key}\shell\
open\command
IsolatedCommand = ""%1" %*"

HKEY_CLASSES_ROOT\{random key}\shell\
runas\command
(Default) = ""%1" %*"

HKEY_CLASSES_ROOT\{random key}\shell\
runas\command
IsolatedCommand = ""%1" %*"

HKEY_CLASSES_ROOT\.exe
Content Type = "application/x-msdownload"

HKEY_CLASSES_ROOT\.exe\DefaultIcon
(Default) = "%1"

HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%Application Data%\{random file name}.exe" -a "%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
open\command
IsolatedCommand = ""%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
runas\command
(Default) = ""%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
runas\command
IsolatedCommand = ""%1" %*"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = 1

Ändert die folgenden Registrierungseinträge:

HKEY_CLASSES_ROOT\.exe
(Default) = "{random key}"

(Note: The default value data of the said registry entry is "exefile".)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%Application Data%\{random file name}.exe" -a "%Program Files%\Internet Explorer\iexplore.exe""

(Note: The default value data of the said registry entry is ""%Program Files%\Internet Explorer\iexplore.exe"".)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = 4

(Note: The default value data of the said registry entry is 2.)

Löscht die folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv