live casino online

Um einen ?berblick ¨¹ber das Verhalten dieser Trojan zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Beendet sich selbst, falls festgestellt wird, dass die Ausf¨¹hrung in einer virtuellen Umgebung erfolgt.

Installation

Schleust folgende Dateien/Komponenten ein:

• ProgramData\{unique ID}.key
• ProgramData\Z - deleted afterwards. contains installation date of this malware
• {folders containing encrypted files}\{unique ID}.bmp - image used as wallpaper
• {folders containing encrypted files}\{unique ID}.html - ransom note
• {folders containing encrypted files}\{unique ID}.txt - ransom note
  
  ???where {unique ID} contains 12 hexadecimal characters

F¨¹gt die folgenden Prozesse hinzu:

• copy of the legitimate rundll32.exe named as:
  ? %User Temp%\svchost.exe
• executes svchost.exe {malware}.dll,MS11{number}

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

F¨¹gt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgef¨¹hrt wird:

• {first 5 characters from the unique ID}

Autostart-Technik

Schleust die folgenden Dateien ein:

• %User Startup%\{unique ID}.lnk

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmen¨¹\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmen¨¹\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmen¨¹\Programme\Autostart.)

Andere System?nderungen

?ndert die folgenden Registrierungseintr?ge:

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "{random}\{unique ID}.bmp"

Andere Details

Verschl¨¹sselt Dateien mit den folgenden Erweiterungen:

• .3DM
• .3DS
• .3G2
• .3GP
• .7Z
• .ACCDB
• .AES
• .AI
• .AIF
• .APK
• .APP
• .ARC
• .ASC
• .ASF
• .ASM
• .ASP
• .ASPX
• .ASX
• .AVI
• .BMP
• .BRD
• .BZ2
• .C
• .CER
• .CFG
• .CFM
• .CGI
• .CGM
• .CLASS
• .CMD
• .CPP
• .CRT
• .CS
• .CSR
• .CSS
• .CSV
• .CUE
• .DB
• .DBF
• .DCH
• .DCU
• .DDS
• .DIF
• .DIP
• .DJV
• .DJVU
• .DOC
• .DOCB
• .DOCM
• .DOCX
• .DOT
• .DOTM
• .DOTX
• .DTD
• .DWG
• .DXF
• .EML
• .EPS
• .FDB
• .FLA
• .FLV
• .FRM
• .GADGET
• .GBK
• .GBR
• .GED
• .GIF
• .GPG
• .GPX
• .GZ
• .H
• .H
• .HTM
• .HTML
• .HWP
• .IBD
• .IBOOKS
• .IFF
• .INDD
• .JAR
• .JAVA
• .JKS
• .JPG
• .JS
• .JSP
• .KEY
• .KML
• .KMZ
• .LAY
• .LAY6
• .LDF
• .LUA
• .M
• .M3U
• .M4A
• .M4V
• .MAX
• .MDB
• .MDF
• .MFD
• .MID
• .MKV
• .MML
• .MOV
• .MP3
• .MP4
• .MPA
• .MPG
• .MS11
• .MSI
• .MYD
• .MYI
• .NEF
• .NOTE
• .OBJ
• .ODB
• .ODG
• .ODP
• .ODS
• .ODT
• .OTG
• .OTP
• .OTS
• .OTT
• .P12
• .PAGES
• .PAQ
• .PAS
• .PCT
• .PDB
• .PDF
• .PEM
• .PHP
• .PIF
• .PL
• .PLUGIN
• .PNG
• .POT
• .POTM
• .POTX
• .PPAM
• .PPS
• .PPSM
• .PPSX
• .PPT
• .PPTM
• .PPTX
• .PRF
• .PRIV
• .PRIVAT
• .PS
• .PSD
• .PSPIMAGE
• .PY
• .QCOW2
• .RA
• .RAR
• .RAW
• .RM
• .RSS
• .RTF
• .SCH
• .SDF
• .SH
• .SITX
• .SLDX
• .SLK
• .SLN
• .SQL
• .SQLITE
• .SQLITE
• .SRT
• .STC
• .STD
• .STI
• .STW
• .SVG
• .SWF
• .SXC
• .SXD
• .SXI
• .SXM
• .SXW
• .TAR
• .TBK
• .TEX
• .TGA
• .TGZ
• .THM
• .TIF
• .TIFF
• .TLB
• .TMP
• .TXT
• .UOP
• .UOT
• .VB
• .VBS
• .VCF
• .VCXPRO
• .VDI
• .VMDK
• .VMX
• .VOB
• .WAV
• .WKS
• .WMA
• .WMV
• .WPD
• .WPS
• .WSF
• .XCODEPROJ
• .XHTML
• .XLC
• .XLM
• .XLR
• .XLS
• .XLSB
• .XLSM
• .XLSX
• .XLT
• .XLTM
• .XLTX
• .XLW
• .XML
• .YUV
• .ZIP
• .ZIPX

Benennt verschl¨¹sselte Dateien in folgende Namen um:

• {original file name.file extension}.crypt

Beendet sich selbst, falls festgestellt wird, dass die Ausf¨¹hrung in einer virtuellen Umgebung erfolgt.