Analysé par: Mohammed Malubay   
 

Worm:Win32/Hilgild.C(MICROSOFT); W32/Agent.AEN!tr(FORTINET);

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Voie d'infection: Aus dem Internet heruntergeladen, Via physikalisch / Wechseldatenträger

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Détails techniques

File size: 94208 bytes
File type: COM
Memory resident: Oui
Charge malveillante: Downloads files, Steals information, Terminates processes

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %All Users Profile%\inetinfo.exe

Schleust die folgenden Dateien ein:

  • %User Temp%\conm.dll
  • {removable drive}\AuToRUn.iNf
  • {removable drive}\RECYCLER\{encrypted computer name}.ldf
  • %All Users Profile%\DRM\Media\{encrypted computer name}.ldf {if DRM folder is found}
  • %All Users Profile%\Documents\Media\{encrypted computer name}.ldf {if DRM folder is not found}

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Dateien ein und führt sie aus:

  • %User Temp%\se.bat - deleted after execution
  • %User Temp%\oi.bat {disable most security features} - deleted after execution

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

  • "%Program Files%\winrar\rar.exe" a -apX -r -ed-tk -m5 -dh -tl-hpThis0nePiece-taYYYYMMDD {shortened %All Users Profile%\DRM\Media\{encrypted computer name}.ldf} X:\*.doc X:\*.DOCX
    • where X (apX included) = drives with drivetypes: DRIVE_FIXED or DRIVE_REMOTE
    • YYYYMMDD, where MM = Month-1 && DD = Day-1
    • if "%All Users Profile%\DRM" is not found, replace with "%All Users Profile%\Documents" instead

Erstellt die folgenden Ordner und legt für diese die Attribute System und Versteckt fest, um zu verhindern, dass die darin befindlichen Komponenten von Benutzern entdeckt und entfernt werden:

  • %All Users Profile%\DRM\Media {if DRM folder is found}
  • %All Users Profile%\Documents\Media {if DRM folder is not found}

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{7849596a-48ea-486e-8937-a2a3009f31a9}\InProcServer32
(Default) = "%User Temp%\conm.dll"

(Note: The default value data of the said registry entry is "%SystemRoot%\system32\shell32.dll".)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

(Note: The default value data of the said registry entry is 1 {unless user purposely disabled firewall}.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Lsa
forceguest = 0

(Note: The default value data of the said registry entry is 0 {for admin accounts}; 1 {for guest accounts}.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Lsa
limitblankpassworduse = 0

(Note: The default value data of the said registry entry is 0 {if account has password}; 1 {if account has no password}.)

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

  • RECYCLER {copies the content of Recycle Bin}

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • RECYCLER\wmimgmt.com

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

  • Security Center (wscsvc) - also disables its autostart

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %User Temp%\kis.exe
  • %User Temp%\kisi.exe
  • %User Temp%\BRHFLQ.XML

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Datendiebstahl

Folgende Daten werden gesammelt:

  • Disk space information
  • Computer name
  • All .doc and .docx files located on fixed and remote drives

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 15.556.04
First VSAPI Pattern Release Date: 13 décembre 2019
VSAPI OPR Pattern Version: 15.557.00
VSAPI OPR Pattern Release Date: 14 décembre 2019

Step 2

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 4

Im abgesicherten Modus neu starten

[ learnMore ]

Step 5

Diese Datei suchen und löschen

[ learnMore ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.
  • %All Users Profile%\Documents\Media\{encrypted computer name}.ldf
  • %All Users Profile%\DRM\Media\{encrypted computer name}.ldf
  • %All Users Profile%\inetinfo.exe
  • %User Temp%\BRHFLQ.XML
  • %User Temp%\conm.dll
  • %User Temp%\kis.exe
  • %User Temp%\kisi.exe
  • %User Temp%\oi.bat
  • %User Temp%\se.bat
  • {removable drive}\AuToRUn.iNf
  • {removable drive}\RECYCLER\{encrypted computer name}.ldf
  • {removable drive}\RECYCLER\wmimgmt.com

Step 6

Diesen Ordner suchen und löschen

[ learnMore ]
Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.
  • {removable drive}\RECYCLER

Step 7

Diesen geänderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7849596a-48ea-486e-8937-a2a3009f31a9}\InProcServer32
    • (Default) = "%SystemRoot%\system32\shell32.dll"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • EnableFirewall = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    • forceguest = 0 {for admin accounts}; 1 {for guest accounts}.)
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    • limitblankpassworduse = 0 {if account has password}; 1 {if account has no password}

Step 8

Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als Worm.Win32.HILGILD.B entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Participez à notre enquête!