Trojan.PS1.SILENTKILL.THHOIBC

Publish Date: 15 de августа de 2023

Author: Arianne Grace Dela Cruz

Ransom:BAT/GenRansom.A!hoa (MICROSOFT); Bat.DelShadow.43996 (QUICKHEAL)

PLATFORM:

Windows

OVER ALL RISK RATING:

DAMAGE POTENTIAL::

REPORTED INFECTION:

Beeinträchtigung der Systemleistung ::

INFORMATION EXPOSURE:

Low

Medium

High

Critical

Threat Type:
Trojan
Destructiveness:
No
Encrypted:
No
In the wild::
Yes

OVERVIEW

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

TECHNICAL DETAILS

File size: 10,656 bytes

File type: PS1

Memory resident: No

INITIAL SAMPLES RECEIVED DATE: 09 августа 2023

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Agrega los procesos siguientes:

cmd.exe /c assoc .README=txtfile
wbadmin stop job
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup - keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
bcedit /set {default} bootstatuspolicy ignoreallfailures
bcedit /set {default} recoveryenabled no
wevtutil cl Security
wevtutil cl Application
wevtutil cl System

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\
Control\Terminal Server
fDenyTSConnections = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Real-Time Protection
SpyNetReporting = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Real-Time Protection
SubmitSamplesConsent = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Features
TamperProtection = 4

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender
DisableAntiSpyware = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
legalnoticecaption = Welcome

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
legalnoticecaption = Welcome aboard

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Terminal Server\WinStations\
RDP-TCP
PortNumber = 4000

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
TrendMicro\PC-cillinNTCorp\CurrentVersion\
Misc.
Allow Uninstall = 1

Finalización del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

Backup
Exchange
HvHost
Malwarebytes
Oracle
Quest
Sharepoint
SQL
Veeam
vmcompute
vmicguestinterface
vmicheartbeat
vmickvpexchange
vmicrdv
vmicshutdown
vmictimesync
vmicvmsession
vmicvss
vmms

Finaliza procesos o servicios que contienen una de las cadenas siguientes si detecta que se ejecutan en la memoria del sistema afectado:

AV related processes:
- acronis
- Agent
- agent
- agntsvc.exe
- agntsvc.exeagntsvc.exe
- agntsvc.exeencsvc.exe
- agntsvc.exeisqlplussvc.exe
- anvir.exe
- anvir64.exe
- arcserve
- barracuda
- ccleaner.exe
- ccleaner64.exe
- Endpoint
- endpoint
- Kaspersky
- Malware
- microsoft
- monitor
- protect
- secure
- security
- segurda
- Veeam
- veeam
adobe
AlwaysOn
anydesk
apache
apache.exe
autodesk
Backup
backup.exe
center
chrome
Core.Service
database
dbeng50.exe
dbsnmp.exe
def
dev
encsvc.exe
engine
exchange
far.exe
firefox
firefoxconfig.exe
Framework
http
infopath.exe
isqlplussvc.exe
java
kingdee.exe
logmein
manage
Mongo
msaccess.exe
msftesql.exe
mspub.exe
mydesktopqos.exe
mydesktopservice.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
ncsvc.exe
ocautoupds.exe
ocomm.exe
OCS Inventory
ocssd.exe
office
oracle.exe
oracle.exe
procexp.exe
QBCF
QBData
QBDB
QuickBooks
regedit.exe
sage
server
silverlight
solarwinds
sprout
sqbcoreservice.exe
sql
SQL
sql.exe
sqlagent.exe
sqlbrowser.exe
sqlserver.exe
sqlservr.exe
sqlwriter.exe
synctime.exe
tbirdconfig.exe
teamviewer
tomcat.exe
tomcat6.exe
u8.exe
ufida.exe
visio.exe
vnc
web
xfssvccon.exe

Otros detalles

Hace lo siguiente:

It adds the following local group accounts with Administrator privileges:
- Administrators
- Remote Desktop Users
It enables the firewall rule that allows RDP connections.
It sends the MAC address of the victim via UDP to the broadcast IP.
It modifies the Administrator user passsword.
It modifies the Windows Defender settings to disable malware scanning and detection.
It disables the following AV-related services:
- WdNisSvc
- WinDefend
- Sense
- WdnisDrv
- wdfilter
- wdboot
It deletes the ComputerRestorePoint to prevent system recovery.
It attempts to uninstall the following AV programs:
- Bitdefender
- TrendMicro
- Kaspersky
It enables PowerShell remoting.
It enables WinRm execution.
It checks if a specific IP in its network has a running WinDefend service.
It modifies the machine's lock screen title into the following strings:
- Welcome
- Welcome aboard
It deletes all files in %User Temp%.
It modifies the listening RDP port to 4000 and sets a Firewall rule to allow inbound connections.
It modifies the Windows Defender settings to disable scanning of files and processes in all drives.

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

)

SOLUTION

Minimum scan engine: 9.800

First VSAPI Pattern File: 18.624.02

First VSAPI Pattern Release Date: 09 de августа de 2023

VSAPI OPR PATTERN-VERSION: 18.625.00

VSAPI OPR PATTERN DATE: 10 de августа de 2023

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Identificar y terminar los archivos detectados como Trojan.PS1.SILENTKILL.THHOIBC

[ learnMore ]

Para los usuarios de Windows 98 y ME, puede que el Administrador de tareas de Windows no muestre todos los procesos en ejecución. En tal caso, utilice un visor de procesos de una tercera parte (preferiblemente, el Explorador de procesos) para terminar el archivo de malware/grayware/spyware. Puede descargar la herramienta en cuestión aquí.
Si el archivo detectado aparece en el Administrador de tareas o en el Explorador de procesos, pero no puede eliminarlo, reinicie el equipo en modo seguro. Para ello, consulte este enlace para obtener todos los pasos necesarios.
Si el archivo detectado no se muestra en el Administrador de tareas o el Explorador de procesos, prosiga con los pasos que se indican a continuación.

Step 3

Restaurar este valor del Registro modificado

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server
fDenyTSConnections = 0
fDenyTSConnections = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection
SpyNetReporting = 0
SpyNetReporting = {Default Value}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection
SubmitSamplesConsent = 0
SubmitSamplesConsent = {Default Value}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
TamperProtection = 4
TamperProtection = {Default Value}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
DisableAntiSpyware = 1
DisableAntiSpyware = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
DisableAntiSpyware = 1
DisableAntiSpyware = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
legalnoticecaption = Welcome
legalnoticecaption = {Default value}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
legalnoticecaption = Welcome aboard
legalnoticecaption = {Default value}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP
PortNumber = 4000
PortNumber = {Default value}
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.
Allow Uninstall = 1
Allow Uninstall = 0

Para restaurar el valor del Registro que este malware/grayware/spyware ha modificado:

Abra el Editor del Registro. Haga clic en Inicio>Ejecutar, escriba REGEDIT y, a continuación, pulse Intro.
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server
En el panel derecho, busque este valor del Registro:
fDenyTSConnections = 0
Haga clic con el botón derecho en el nombre de valor y elija Modificar. Cambie la información de valor de esta entrada a:
fDenyTSConnections = 1
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection
En el panel derecho, busque este valor del Registro:
SpyNetReporting = 0
Haga clic con el botón derecho en el nombre de valor y elija Modificar. Cambie la información de valor de esta entrada a:
SpyNetReporting = {Default Value}
Again En el panel derecho, busque este valor del Registro:
SubmitSamplesConsent = 0
Haga clic con el botón derecho en el nombre de valor y elija Modificar. Cambie la información de valor de esta entrada a:
SubmitSamplesConsent = {Default Value}
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
En el panel derecho, busque este valor del Registro:
TamperProtection = 4
Haga clic con el botón derecho en el nombre de valor y elija Modificar. Cambie la información de valor de esta entrada a:
TamperProtection = {Default Value}
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
En el panel derecho, busque este valor del Registro:
DisableAntiSpyware = 1
Haga clic con el botón derecho en el nombre de valor y elija Modificar. Cambie la información de valor de esta entrada a:
DisableAntiSpyware = 0
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
En el panel derecho, busque este valor del Registro:
DisableAntiSpyware = 1
Haga clic con el botón derecho en el nombre de valor y elija Modificar. Cambie la información de valor de esta entrada a:
DisableAntiSpyware = 0
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
En el panel derecho, busque este valor del Registro:
legalnoticecaption = Welcome
Haga clic con el botón derecho en el nombre de valor y elija Modificar. Cambie la información de valor de esta entrada a:
legalnoticecaption = {Default value}
Again En el panel derecho, busque este valor del Registro:
legalnoticecaption = Welcome aboard
Haga clic con el botón derecho en el nombre de valor y elija Modificar. Cambie la información de valor de esta entrada a:
legalnoticecaption = {Default value}
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP
En el panel derecho, busque este valor del Registro:
PortNumber = 4000
Haga clic con el botón derecho en el nombre de valor y elija Modificar. Cambie la información de valor de esta entrada a:
PortNumber = {Default value}
En el panel izquierdo, haga doble clic en el siguiente elemento:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.
En el panel derecho, busque este valor del Registro:
Allow Uninstall = 1
Haga clic con el botón derecho en el nombre de valor y elija Modificar. Cambie la información de valor de esta entrada a:
Allow Uninstall = 0
Cierre el Editor del Registro.

Step 4

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como Trojan.PS1.SILENTKILL.THHOIBC En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Did this description help? Tell us how we did.

Trojan.PS1.SILENTKILL.THHOIBC

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Ресурсы

Поддержка

О компании Trend

Trojan.PS1.SILENTKILL.THHOIBC

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Ресурсы

Поддержка

О компании Trend

Северная и Южная Америка

Ближний Восток и Африка

Европа

Азиатско-Тихоокеанский регион