Analysé par: Nikko Tamana   
 

VBS/DwnLdr-UZE (Sophos)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Leitet Dateien durch Hinzufügen bestimmter Registrierungseinträge um. Dadurch kann diese Malware ausgeführt werden, auch wenn andere Anwendungen geöffnet sind.

Ändert Sicherheitseinstellungen von Internet Explorer. Hierdurch ist der betroffene Computer stärker gefährdet, da er auf bösartige URLs zugreifen kann.

  Détails techniques

File size: 134,210 bytes
File type: VBS
Date de réception des premiers échantillons: 09 janvier 2018

Installation

Schleust die folgenden Dateien ein:

  • %ProgramData%\{random letters}\System
  • %ProgramData%\{random numbers}.exe

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %ProgramData%\{random letters}\{random letters}.vbs

Autostart-Technik

Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:

HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
ChromeUpdater = %ProgramData%\{random numbers}.exe

Leitet Dateien um, damit sie beim Zugriff auf bestimmte Dateitypen ausgeführt wird, indem sie die folgenden Einträge hinzufügt:

HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas
HasLUAShield = {Default}

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKLM\SOFTWARE\Classes\
{random letters}

HKLM\SOFTWARE\Classes\
{random letters}\shell

HKLM\SOFTWARE\Classes\
{random letters}\shell\open

HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command

HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon

HKLM\SOFTWARE\Classes\
.

HKCU\Software\Vaalberit

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon
{Default} = %1

HKCU\Software\Vaalberit
black = !TEST.EXE!

HKCU\Software
Vaalberit = {random letters}

HKLM\SOFTWARE\Classes\
.exe
{Default} = {random letters}

HKLM\SOFTWARE\Classes\
.
{Default} = exefile

HKCU\Software\Vaalberit
black = 0!0

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %ProgramData%\{random letters}\{random alphanumeric characters}.exe