Trojan.LNK.EMOTET.YJCD2
Windows
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.
Détails techniques
Übertragungsdetails
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
Schleust die folgenden Dateien ein:
- %User Temp%\rzsPrHsBem.ps1
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Fügt die folgenden Prozesse hinzu:
- %System%\cmd.exe /v:on /c {filename}.lnk||goto&p^o^w^e^r^s^h^e^l^l.e^x^e -c "&{[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('{encoded base 64}')) > "%User Temp%\rzsPrHsBem.ps1"; powershell -executionpolicy bypass -file "%User Temp%\rzsPrHsBem.ps1"; Remove-Item -Force "%User Temp%\rzsPrHsBem.ps1"
- powershell.exe -c "&{[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('{encoded base 64}')) > "%User Temp%\rzsPrHsBem.ps1"
- %System%\WindowsPowerShell\v1.0\powershell.exe" -executionpolicy bypass -file %User Temp%\rzsPrHsBem.ps1
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Andere Systemänderungen
Löscht die folgenden Dateien:
- %User Temp%\rzsPrHsBem.ps1
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Download-Routine
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- %User Temp%\pFXxlnhRVh.pRK
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Andere Details
It connects to the following possibly malicious URL:
- http://{BLOCKED}technologies.com.pk/apitest/1r8uV/
- http://{BLOCKED}u.vn/components/gMXyb7/
- https://www.{BLOCKED}teldiligencias.com.mx/api/ga/
- http://www.{BLOCKED}te.cmru.ac.th/web53photo/anKeOTOIYXxzOtlIS9D/
- http://{BLOCKED}rup.dk/modlogan/DAbeNM/
- http://{BLOCKED}e.me/wp-content/DTN/