Worm.Win32.VOOLS.AO

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Nutzt Software-Schwachstellen aus, um sich auf andere Computer in einem Netzwerk zu verbreiten.

Löscht sich nach der Ausführung selbst.

Installation

Schleust die folgenden Dateien ein:

• %Windows%\NetworkDistribution\svchost.exe <- detected as TROJ_EQUATED.LZCMT
• %Windows%\NetworkDistribution\spoolsv.exe <- detected as BKDR_EQUATED.LZCMU
• %System%\dllhostex.exe <- detected as Coinminer.Win32.MALXMR.SMBM4
• %System%\{Random Name}.dll <- detected as Trojan.Win32.VOOLS.SMAL01
  The name is generated by combining three (3) random strings from the following list:
  • Remote
  • Function
  • Secure
  • Microsoft
  • Network
  • Event
  • Manager
  • Service
  • Host
  • Client
  • NetBIOS
  • RPC
  • Protocol
  • Update
  • TimeUPnP
• %System%\msvc{3-random character}.{random extension} <- contains encrypted shellcode
  The extension is randomly picked from the following list:
  • xsl
  • ini
  • dll
  • txt
  • log
  • dat
  • nls
• Component files used for the malware's EternalBlue/DoublePulsar Exploitation:
  • %Windows%\NetworkDistribution\Diagnostics.txt
  • %Windows%\NetworkDistribution\Eternalblue-2.2.0.fb
  • %Windows%\NetworkDistribution\Eternalchampion-2.0.0.fb
  • %Windows%\NetworkDistribution\_pytrch.pyd
  • %Windows%\NetworkDistribution\adfw-2.dll
  • %Windows%\NetworkDistribution\adfw.dll
  • %Windows%\NetworkDistribution\cnli-0.dll
  • %Windows%\NetworkDistribution\cnli-1.dll
  • %Windows%\NetworkDistribution\coli-0.dll
  • %Windows%\NetworkDistribution\crli-0.dll
  • %Windows%\NetworkDistribution\dmgd-1.dll
  • %Windows%\NetworkDistribution\dmgd-4.dll
  • %Windows%\NetworkDistribution\esco-0.dll
  • %Windows%\NetworkDistribution\etch-0.dll
  • %Windows%\NetworkDistribution\etchCore-0.x64.dll
  • %Windows%\NetworkDistribution\etchCore-0.x86.dll
  • %Windows%\NetworkDistribution\eteb-2.dll
  • %Windows%\NetworkDistribution\etebCore-2.x64.dll
  • %Windows%\NetworkDistribution\etebCore-2.x86.dll
  • %Windows%\NetworkDistribution\exma-1.dll
  • %Windows%\NetworkDistribution\exma.dll
  • %Windows%\NetworkDistribution\iconv.dll
  • %Windows%\NetworkDistribution\libcurl.dll
  • %Windows%\NetworkDistribution\libeay32.dll
  • %Windows%\NetworkDistribution\libiconv-2.dll
  • %Windows%\NetworkDistribution\libxml2.dll
  • %Windows%\NetworkDistribution\out.dll
  • %Windows%\NetworkDistribution\pcla-0.dll
  • %Windows%\NetworkDistribution\pcre-0.dll
  • %Windows%\NetworkDistribution\pcrecpp-0.dll
  • %Windows%\NetworkDistribution\pcreposix-0.dll
  • %Windows%\NetworkDistribution\posh-0.dll
  • %Windows%\NetworkDistribution\posh.dll
  • %Windows%\NetworkDistribution\pytrch.py
  • %Windows%\NetworkDistribution\pytrch.pyc
  • %Windows%\NetworkDistribution\riar-2.dll
  • %Windows%\NetworkDistribution\riar.dll
  • %Windows%\NetworkDistribution\spoolsv.xml
  • %Windows%\NetworkDistribution\ssleay32.dll
  • %Windows%\NetworkDistribution\svchost.xml
  • %Windows%\NetworkDistribution\tibe-1.dll
  • %Windows%\NetworkDistribution\tibe-2.dll
  • %Windows%\NetworkDistribution\tibe.dll
  • %Windows%\NetworkDistribution\trch-0.dll
  • %Windows%\NetworkDistribution\trch-1.dll
  • %Windows%\NetworkDistribution\trch.dll
  • %Windows%\NetworkDistribution\trfo-0.dll
  • %Windows%\NetworkDistribution\trfo-2.dll
  • %Windows%\NetworkDistribution\trfo.dll
  • %Windows%\NetworkDistribution\tucl-1.dll
  • %Windows%\NetworkDistribution\tucl.dll
  • %Windows%\NetworkDistribution\ucl.dll
  • %Windows%\NetworkDistribution\x64.dll
  • %Windows%\NetworkDistribution\x86.dll
  • %Windows%\NetworkDistribution\xdvl-0.dll
  • %Windows%\NetworkDistribution\zibe.dll
  • %Windows%\NetworkDistribution\zlib1.dll

Fügt die folgenden Prozesse hinzu:

• sc stop RpcPolicyMgr
• sc delete RpcPolicyMgr
• %System%\schtasks.exe /End /tn "Microsoft\Windows\UPnP\RpcPolicyHost"
• %System%\schtasks.exe /Delete /tn "Microsoft\Windows\UPnP\RpcPolicyHost"
• cmd.exe /c ping 127.0.0.1 -n 5 & cmd.exe /c del /a /f {Malware File Name}
• %System%\dllhostex.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Erstellt die folgenden Ordner:

• %Windows%\NetworkDistribution

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• {ED29R9-8ED1-C760-7D789N}
• {CE9SCB-B92-FC8-A6FEDC}
• {E2088B81F-2A96-43E8-B9F522B}
• {F5175396-40C2-0218-278D6EE}
• {B8A7AE22-7F59-CDE5-71F9C2A}

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services
{DLL Name} = %System%\svchost.exe -k netsvcs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Svchost
netsvcs = {Original Data} + {DLL Name}

(Note: The default value data of the said registry entry is {Original Data}.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{DLL Name}\Parameters
ServiceDLL = %System%\{Random DLL Name}

Startet die folgenden Dienste:

• {Random DLL Name}

Andere Systemänderungen

Löscht die folgenden Dateien:

• %Windows%\RemoteDistribution\spoolsv.exe
• %Windows%\RemoteDistribution\Microsoft\spoolsv.exe
• %Windows%\RemoteDistribution\Microsoft\svchost.exe
• %System%\WUDHostServices.exe
• %System%\ServicesMgrHost.exe
• %System%\RpcPolicyMgr.dll
• %System%\NdfPresentationView.msc
• %System%\text.log

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Löscht die folgenden Ordner:

• %Windows%\RemoteDistribution

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\NetworkPlatform\
Location Awareness
LastBackup = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\NetworkPlatform\
Location
IPC = IPC

Verbreitung

Nutzt die folgenden Software-Schwachstellen aus, um sich auf andere Computer in einem Netzwerk zu verbreiten:

• EternalBlue and DoublePulsar (CVE MS17-010)

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• %Windows%\RemoteDistribution\spoolsv.exe
• %Windows%\RemoteDistribution\Microsoft\spoolsv.exe
• %Windows%\RemoteDistribution\Microsoft\svchost.exe
• %System%\WUDHostServices.exe
• %System%\ServicesMgrHost.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Datendiebstahl

Folgende Daten werden gesammelt:

• Host Name
• Local IP Address
• MAC Address

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• log.{BLOCKED}.com:80/ipc.html?

Andere Details

Löscht sich nach der Ausführung selbst.