TROJ_FRS.0NA103ID24

Infektionsweg: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Dateigr??e: 176,128 bytes

Dateityp: EXE

Erste Muster erhalten am: 13 September 2024

Schadteil: Connects to URLs/IPs, Drops files, Modifies system registry

?bertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

%User Temp%\{Random Characters}.exe
{Active Drive Letter}\autorun.inf
%Cookies%\{Username}@cupress.chula.ac[1].txt
{Active Drive Letter}\{Random Characters}.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

F��gt die folgenden Prozesse hinzu:

%User Temp%\{Random Characters}.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere System?nderungen

F��gt folgende Zeilen/Eintr?ge zur Datei SYSTEM.INI hinzu:

[mci]
[MCIDRV_VER]
DEVICEMB={Random Decimal Numbers}

F��gt die folgenden Registrierungseintr?ge hinzu:

HKEY_CURRENT_USER\Software\{Derived from User Name}\
2033412880
{Derived from the first 4 letters of the User Name} = {Decimal Value}

HKEY_CURRENT_USER\Software\{Derived from User Name}\
2033412880
{Derived from the first 4 letters of the User Name} = {Hex Values}

?ndert die folgenden Registrierungseintr?ge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UpdatesDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UacDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = 1

(Note: The default value data of the said registry entry is 0.)

?ndert die folgenden Registrierungseintr?ge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2

(Note: The default value data of the said registry entry is 1.)

L?scht die folgenden Registrierungsschl��ssel:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Safeboot

Verbreitung

Die besagte .INF-Datei enth?lt die folgenden Zeichenfolgen:

[AutoRun]
;{Garbage Characters}
SHElL\open\DefAult=1

;{Garbage Characters}
oPen={Random Characters}.exe
;{Garbage Characters}
SHell\open\commAND={Random Characters}.exe
;
ShelL\expLOre\Command = {Random Characters}.exe
;
SHell\autoPlay\comMAnd ={Random Characters}.exe

Andere Details

F��gt die folgenden Registrierungsschl��ssel hinzu:

HKEY_CURRENT_USER\Software\{Derived from User Name}

HKEY_CURRENT_USER\Software\{Derived from User Name}\
2033412880

It connects to the following possibly malicious URL:

http://www.{BLOCKED}exi.com
http://www.{BLOCKED}s.chula.ac.th
http://{BLOCKED}ndia.com
http://{BLOCKED}etarlac.com
http://www.{BLOCKED}x-technologie.fr
http://www.{BLOCKED}t.my
{BLOCKED}.{BLOCKED}.{BLOCKED}.35

Es macht Folgendes:

It creates a remote thread to the following process to constantly disable antivirus and showing of hidden files:
- explorer.exe

Mindestversion der Scan Engine: 9.800

Erste VSAPI Pattern-Datei: 19.588.04

Erste VSAPI Pattern ver?ffentlicht am: 13 September 2024

VSAPI OPR Pattern-Version: 19.589.00

VSAPI OPR Pattern ver?ffentlicht am: 14 September 2024

Step 2

F��r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>

Step 4

Diesen Registrierungswert l?schen

[ learnMore ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f��hren. F��hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst��tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

In HKEY_CURRENT_USER\Software\{Derived from User Name}\2033412880
- {Derived from the first 4 letters of the User Name} = {Decimal Value}
In HKEY_CURRENT_USER\Software\{Derived from User Name}\2033412880
- {Derived from the first 4 letters of the User Name} = {Hex Values}

Step 5

Diesen Registrierungsschl��ssel l?schen

[ learnMore ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f��hren. F��hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst��tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

In HKEY_CURRENT_USER\Software\{Derived from User Name}\2033412880
In HKEY_CURRENT_USER\Software\{Derived from User Name}

Step 6

Diesen ge?nderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f��hren. F��hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst��tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusOverride = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusDisableNotify = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- FirewallDisableNotify = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- FirewallOverride = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- UpdatesDisableNotify = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- UacDisableNotify = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- AntiVirusOverride = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- AntiVirusDisableNotify = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- FirewallDisableNotify = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- FirewallOverride = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- UpdatesDisableNotify = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- UacDisableNotify = 1
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- GlobalUserOffline = 0
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLUA = 0
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- EnableFirewall = 0
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- DoNotAllowExceptions = 0
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- DisableNotifications = 1
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden = 2

Den Registrierungswert wiederherstellen, den diese Malware/Grayware/Spyware ge?ndert hat:

?ffnen Sie den Registrierungs-Editor. Klicken Sie auf Start > Ausf��hren, geben Sie REGEDIT ein, und dr��cken Sie dann die Eingabetaste.
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
AntiVirusOverride = 1
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
AntiVirusOverride = 0
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
AntiVirusDisableNotify = 1
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
AntiVirusDisableNotify = 0
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
FirewallDisableNotify = 1
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
FirewallDisableNotify = 1
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
FirewallOverride = 1
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
FirewallOverride = 0
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
UpdatesDisableNotify = 1
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
UpdatesDisableNotify = 0
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
UacDisableNotify = 1
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
UacDisableNotify = 0
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
AntiVirusOverride = 1
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
AntiVirusOverride = 0
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
AntiVirusDisableNotify = 1
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
AntiVirusDisableNotify = 0
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
FirewallDisableNotify = 1
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
FirewallDisableNotify = 0
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
FirewallOverride = 1
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
FirewallOverride = 0
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
UpdatesDisableNotify = 1
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
UpdatesDisableNotify = 0
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
UacDisableNotify = 1
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
UacDisableNotify = 0
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
GlobalUserOffline = 0
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
GlobalUserOffline = 1
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
EnableLUA = 0
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
EnableLUA = 1
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
EnableFirewall = 0
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
EnableFirewall = 1
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
DoNotAllowExceptions = 0
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
DoNotAllowExceptions = 1
Again Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
DisableNotifications = 1
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
DisableNotifications = 0
Doppelklicken Sie im linken Fensterbereich auf:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Suchen Sie im rechten Fensterbereich nach dem Registrierungswert:
Hidden = 2
Klicken Sie mit der rechten Maustaste auf den Wertnamen, und w?hlen Sie ?ndern. ?ndern Sie den Wert dieses Eintrags in:
Hidden = 1
Schlie?en Sie den Registrierungs-Editor.

Step 7

Diese Dateien suchen und l?schen

[ learnMore ]

M?glicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu ber��cksichtigen.

%User Temp%\{Random Characters}.exe
{Active Drive Letter}\{Random Characters}.exe
%Cookies%\{Username}@cupress.chula.ac[1].txt

DATA_GENERIC_FILENAME_1

W?hlen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und dr��cken Sie die Eingabetaste.

Markieren Sie die gefundene Datei, und dr��cken Sie UMSCHALT+ENTF, um sie endg��ltig zu l?schen.

Wiederholen Sie die Schritte 2 bis 4 f��r die ��brigen Dateien: %User Temp%\{Random Characters}.exe
{Active Drive Letter}\{Random Characters}.exe
%Cookies%\{Username}@cupress.chula.ac[1].txt

Step 8

AUTORUN.INF Dateien suchen und l?schen, die von TROJ_FRS.0NA103ID24 erstellt wurden und diese Zeichenfolgen enthalten

[ learnMore ]

In {Active Drive Letter}\autorun.inf:
[AutoRun]
;{Garbage Characters}
SHElL\open\DefAult=1

;{Garbage Characters}
oPen={Random Characters}.exe
;{Garbage Characters}
SHell\open\commAND={Random Characters}.exe
;
ShelL\expLOre\Command = {Random Characters}.exe
;
SHell\autoPlay\comMAnd ={Random Characters}.exe

Step 9

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt, und l?schen Sie Dateien, die als TROJ_FRS.0NA103ID24 entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.

Nehmen Sie an unserer Umfrage teil

live casino online

?berblick

Technische Details

L?sungen

Ressourcen

Support

?ber Trend

Hauptniederlassung DACH