Worm.Win32.DORKBOT.TIGAABC
Trojan:Win32/DorkBot.DU(MICROSOFT); Worm.Win32.Dorkbot(SUNBELT); W32/Dorkbot.B!worm(FORTINET);
Windows
Type de grayware:
Worm
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Wird ausgeführt und löscht sich dann selbst. Die Injizierung erfolgt in alle laufenden Prozesse, um im Speicher resident zu verbleiben.
Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden. Löscht Registrierungseinträge, so dass einige Anwendungen und Programme nicht ordnungsgemäß ausgeführt werden.
Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.
Diese Malware kann keine Daten stehlen.
Verhindert, dass Benutzer Antiviren-bezogene Websites aufrufen können, die bestimmte Zeichenfolgen enthalten.
Détails techniques
Übertragungsdetails
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Application Data%\c731200
- %Application Data%\Update\Explorer.exe
- %Application Data%\Microsoft\Windows\{Random characters}\{Random characters}.exe
- {Removable drive}:\c731200
- {Removable drive}:\{Random letters}.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Schleust die folgenden Dateien ein:
- {Removable drive}:\{Names of files in removable drive}.lnk
- %User Temp%\c731200
- %Application Data%\Microsoft\Windows\{Random characters}.exe
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Fügt die folgenden Prozesse hinzu:
- "{Malware path and name}"
- "%System%\svchost.exe"
- "%System%\calc.exe"
- "%System%\mspaint.exe"
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)
Wird ausgeführt und löscht sich dann selbst.
Die Injizierung erfolgt in alle laufenden Prozesse, um im Speicher resident zu verbleiben.
Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:
- SSLOADasdasc000900
- Windows_Shared_Mutex_231_c000900
- SVCHOST_MUTEX_OBJECT_RELEASED_c000900
- c731200
- -65b46629Mutex
- FvLQ49I
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Update = {Malware file path and name} (if parameter has -shell)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Explorer Manager = %Application Data%\Update\Explorer.exe
Andere Systemänderungen
Löscht die folgenden Dateien:
- {Values in checked registry keys}\{Data in values in checked registry keys}:Zone.Identifier
- %Application Data%\Microsoft\Windows\{Random characters}\{Random characters}.exe:Zone.Identifier
- System, hidden, or read-only .exe, .pif, .scr, .cmd,.com files in removable drives
- .lnk files in removable drives
- Files in %Common Startup%
- Files in %User Startup%
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_CURRENT_USER\Software\WindowsId Manager Reader
CFlagc000900 = 1 (if parameter has -shell)
HKEY_CURRENT_USER\Software\WindowsId Manager Reader
WindowsId = {Random characters}
HKEY_CURRENT_USER\Software\WindowsId Manager Reader
itergtdw11qyucgHGGDsggd = 1 (if parameter has -shell)
Löscht die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableCurrentUserRun =
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableLocalMachineRun =
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableLocalMachineRunOnce =
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableCurrentUserRunOnce =
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableLocalMachineRun =
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableCurrentUserRun =
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableLocalMachineRunOnce =
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableCurrentUserRunOnce =
Backdoor-Routine
Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:
- Download and execute files
- Neutralize other running threats
- Block or redirect domains
- Execute attacks (slow loris, SYN flood, UDP flood)
- Steal credentials
- Spread via online messengers and USB drives
- Visit sites
- Update itself
- Reboot or shutdown system
Prozessbeendigung
Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:
- notepad.exe
- msiexec.exe
- mspaint.exe
Download-Routine
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- %User Temp%\{Random characters}.exe
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)
Datendiebstahl
Diese Malware kann keine Daten stehlen.
Andere Details
Es macht Folgendes:
- It may hook to native APIs to block programs from removing or moving itself or from creating files.
- It renames the following folders:
- %System Root%\Recycler (renamed to %System Root%\{Random characters})
- %System Root%\Program Files\Common Files\CreativeAudio (renamed to %System Root%\Program Files\Common Files\{Random characters})
- %System Root%\programdata\CreativeAudio (renamed to %System Root%\programdata\{Random characters})
- It renames and terminates process related to the following files:
- {Files in %Application Data%}.exe (renamed to {Files in %Application Data%}.exe.gonewiththewings)
- {Files in %Application Data%\Identities}.exe (renamed to {Files in %Application Data%\Identities}.exe.gonewiththewings)
- {Files in %Application Data%\Microsoft}.exe (renamed to {Files in %Application Data%\Microsoft}.exe.gonewiththewings)
- {Files in %ProgramData%}.exe (renamed to {Files in %ProgramData%}.exe.gonewiththewings)
- {Files in %System Root%\Program Files\Common Files\CreativeAudio}.exe (renamed to {Files in %System Root%\Program Files\Common Files\CreativeAudio}.exe.gonewiththewings)
- {Files in %System Root%\programdata\CreativeAudio}.exe (renamed to {Files in %System Root%\programdata\CreativeAudio}.exe.gonewiththewings)
- {Files in %User Temp%}.exe (renamed to {Files in %User Temp%}.exe.gonewiththewings)
- {Files in %User Temp%\adobe}.exe (renamed to {Files in %User Temp%\adobe}.exe.gonewiththewings)
- {Files in %User Profile%}.exe (renamed to {Files in %User Profile%}.exe.gonewiththewings)
- {Files in %Common Startup%}.exe (renamed to {Files in %Common Startup%}.exe.gonewiththewings)
- It checks the following registry keys in deleting files:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_USERS\{Subkey}\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_USERS\{Subkey}\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- It deletes and recreates the following registry entries:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Common Startup% ist der gemeinsame Autostart-Ordner des Systems, normalerweise C:\Windows\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\All Users\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart unter Windows 2000, XP und Server 2003.)
Verhindert, dass Benutzer Antiviren-bezogene Websites aufrufen können, die folgende Zeichenfolgen enthalten:
- webroot
- fortinet
- virusbuster.nprotect
- gdatasoftware
- virus
- precisesecurity
- lavasoft
- heck.t
- emsisoft
- onlinemalwarescanner
- onecare.live
- f-secure
- bullguard
- clamav
- pandasecurity
- sophos
- malwarebytes
- sunbeltsoftware
- norton
- norman
- mcafee
- symante
- comodo
- avast
- avira
- avg
- bitdefender
- eset
- kaspersky
- trendmicro
- iseclab
- virscan
- garyshood
- viruschief
- jotti
- threatexpert
- novirusthanks
- virustotal
Solutions
Step 2
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>
Step 4
Im abgesicherten Modus neu starten
Step 5
Diesen Registrierungswert löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_CURRENT_USER\Software\WindowsId Manager Reader
- CFlagc000900 = 1 (if parameter has -shell)
- CFlagc000900 = 1 (if parameter has -shell)
- In HKEY_CURRENT_USER\Software\WindowsId Manager Reader
- WindowsId = {Random characters}
- WindowsId = {Random characters}
- In HKEY_CURRENT_USER\Software\WindowsId Manager Reader
- itergtdw11qyucgHGGDsggd = 1 (if parameter has -shell)
- itergtdw11qyucgHGGDsggd = 1 (if parameter has -shell)
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Windows Update = {Malware file path and name} (if parameter has -shell)
- Windows Update = {Malware file path and name} (if parameter has -shell)
- In HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Windows Explorer Manager = %Application Data%\Update\Explorer.exe
- Windows Explorer Manager = %Application Data%\Update\Explorer.exe
Step 6
Diese Datei suchen und löschen
- %Application Data%\c731200
- %Application Data%\Update\Explorer.exe
- %Application Data%\Microsoft\Windows\{Random characters}\{Random characters}.exe
- {Removable drive}:\c731200
- {Removable drive}:\{Random letters}.exe
- {Removable drive}:\{Names of files in removable drive}.lnk
- %User Temp%\c731200
- %Application Data%\Microsoft\Windows\{Random characters}.exe
- %User Temp%\{Random characters}.exe
Step 7
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als Worm.Win32.DORKBOT.TIGAABC entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Step 8
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Worm.Win32.DORKBOT.TIGAABC entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participez à notre enquête!