Analyse von: Warren Adam Sto. Tomas   
 

Trojan.Win32.Bsymem.acrv (Kaspersky)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 live casino online L?sungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan Spy

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Ja

  • In the wild::
    Ja

  ?berblick

Infektionsweg: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites. Wird m?glicherweise von anderer Malware eingeschleust.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

  Technische Details

Dateigr??e: 1,662,464 bytes
Dateityp: EXE
Speicherresiden: Nein
Erste Muster erhalten am: 09 August 2021
Schadteil: Connects to URLs/IPs, Steals information

?bertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Wird m?glicherweise von der folgenden Malware eingeschleust:

Andere System?nderungen

?ndert die folgenden Registrierungseintr?ge:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableOnAccessProtection = 1

(Note: The default value data of the said registry entry is {user preference}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableScanOnRealtimeEnable = 1

(Note: The default value data of the said registry entry is {user preference}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableRealtimeMonitoring = 1

(Note: The default value data of the said registry entry is {user preference}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableIOAVProtection = 1

(Note: The default value data of the said registry entry is {user preference}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableRawWriteNotification = 1

(Note: The default value data of the said registry entry is {user preference}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableBehaviorMonitoring = 1

(Note: The default value data of the said registry entry is {user preference}.)

Datendiebstahl

Folgende Daten werden gesammelt:

  • Browser applications:
    • Opera
    • Chrome
    • Brave-Browser
    • CryptoTab Browser
    • Edge
  • Stored cryptocurrency wallets in the following directories:
    • %Application Data%\atomic
    • %Application Data%\com.liberty.jaxx
    • %Application Data%\Electrum
    • %Application Data%\Exodus
    • %Application Data%\MultiDoge
    • %Application Data%\Monero
    • %Application Data%\binance.chain
    • %Application Data%\Metamask

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

  • http://{BLOCKED}.{BLOCKED}.11.8/server.txt
  • http://{BLOCKED}.{BLOCKED}.8.23/proxies.txt
  • http://{BLOCKED}gon.ru/api/setStats.php

  L?sungen

Mindestversion der Scan Engine: 9.800
Erste VSAPI Pattern-Datei: 16.956.05
Erste VSAPI Pattern ver?ffentlicht am: 09 September 2021
VSAPI OPR Pattern-Version: 16.957.00
VSAPI OPR Pattern ver?ffentlicht am: 10 September 2021

Step 1

贵ü谤 Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>

Step 3

Dateien erkennen und deaktivieren, die als TrojanSpy.Win32.BROWALL.A entdeckt wurden

[ learnMore ]
  1. 贵ü谤 Windows 98 und ME Benutzer: Der Windows Task-Manager zeigt m?glicherweise nicht alle aktiven Prozesse an. Verwenden Sie in diesem Fall einen Prozess-Viewer eines Drittanbieters, vorzugsweise Process Explorer, um die Malware-/Grayware-/Spyware-Datei zu beenden. Dieses Tool k?nnen Sie .
    2. herunterladen.
  2. Wenn die entdeckte Datei im Windows Task-Manager oder Process Explorer angezeigt wird, aber nicht gel?scht werden kann, starten Sie Ihren Computer im abgesicherten Modus neu. Klicken Sie auf diesen Link, um alle erforderlichen Schritte anzuzeigen.
  3. Wenn die entdeckte Datei nicht im Windows Task-Manager oder im Process Explorer angezeigt wird, fahren Sie mit den n?chsten Schritten fort.

Step 4

Diesen ge?nderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

?
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
    • DisableOnAccessProtection = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
    • DisableScanOnRealtimeEnable = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
    • DisableRealtimeMonitoring = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
    • DisableIOAVProtection = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
    • DisableRawWriteNotification = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
    • DisableBehaviorMonitoring = 1

Step 5

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt, und l?schen Sie Dateien, die als TrojanSpy.Win32.BROWALL.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


Nehmen Sie an unserer Umfrage teil