Trojan.MSIL.RAWLD.THBOFBD
VHO:Backdoor.MSIL.Agent.gen (KASPERSKY); Trojan:MSIL/Marsilia.NA!MTB (MICROSOFT)
Windows
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
Non
In the wild::
Oui
Overview
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Détails techniques
Übertragungsdetails
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
Schleust die folgenden Dateien ein:
- %Windows%\Help\Stage3.exe
- {Malware Path}\log\Stage2{yyyy-MM-dd}.bin
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Fügt die folgenden Prozesse hinzu:
- If the machine is not in Safe Mode and neither "%Windows%\Help\Finish.exe" nor "%Windows%\Help\Exclude.exe" exists:
- "cmd" /c start %Windows%\Help\Stage3.exe
- If the machine is in SafeMode but either "%Windows%\Help\Finish.exe" or "%Windows%\Help\Exclude.exe" exists:
- "cmd" /c del %Windows%\Help\Stage3.exe
- "cmd" /c del %Windows%\Help\Pay.txt
- "sc" delete MSOfficeRunOncelsls
- "reg" delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSOfficeRunOncelsls" /f
- "cmd" /c start ping 127.0.0.1 -n 10 && cmd /c del %Windows%\Help\Stage2.exe && cmd /c shutdown -r -f -t 00
- "shutdown" -r -f -t 00
- If the machine is not in Safe Mode and neither "%Windows%\Help\Finish.exe" nor "%Windows%\Help\Exclude.exe" exists:
- "sc" create MSOfficeRunOncelsls binpath= %Windows%\Help\Stage2.exe start= auto displayname= MSOfficeRunOncelsls
- "reg" add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSOfficeRunOncelsls" /t REG_SZ /d Service /f
- "shutdown" -r -f -t 00
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Erstellt die folgenden Ordner:
- {Malware Path}\log
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network\
MSOfficeRunOncelsls
(default) = Service
Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network\
MSOfficeRunOncelsls
Löscht die folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network\
MSOfficeRunOncelsls
Andere Details
Es macht Folgendes:
- It configures the Boot Configuration Data (BCD) to:
- enable safe boot option with networking
- disable safe boot option
- It checks for the following files to determine prior compromise or the exclusion of the machine from infection:
- %Windows%\Help\Finish.exe
- %Windows%\Help\Exclude.exe
- It creates a log file if any error is encountered during execution.
- It performs different actions depending on the result of system and file checks:
- If executed in Safe Mode and passed the file verification:
- It decrypts the contents of the file %Windows%\Help\Pay.txt using a hard-coded decryption key.
- The decrypted content is saved as %Windows%\Help\Stage3.exe and executed.
- If executed in Safe Mode but did not pass the file verification:
- It disables the Safe Boot option, deletes malware remnants, and reboots the machine.
- If not executed in Safe Mode and passed the file verification:
- It enables the Safe Boot with Networking, creates a service, adds a registry key, and reboots the machine.
- If executed in Safe Mode and passed the file verification:
- It adds the following service:
- Name: MSOfficeRunOncelsls
- Start Type: Autostart
- Binary Path: %Windows%\Help\Stage2.exe
- It deletes the following service:
- MSOfficeRunOncelsls
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Solutions
Step 2
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>
Step 4
Diesen Malware-Dienst deaktivieren
-
- MSOfficeRunOncelsls
Step 5
Diesen Registrierungsschlüssel löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\MSOfficeRunOncelsls
Step 6
Diese Datei suchen und löschen
- %Windows%\Help\Stage3.exe
- {Malware Path}\log\Stage2{yyyy-MM-dd}.bin
Step 7
Diese Ordner suchen und löschen
- {Malware Path}\log
Step 8
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Trojan.MSIL.RAWLD.THBOFBD entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participez à notre enquête!