BKDR_KULUOZ.VLT
Mal/Weelsof-E (Sophos)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
Oui
In the wild::
Oui
Overview
F¨¹hrt Befehle eines externen, b?swilligen Benutzers aus, wodurch das betroffene System gef?hrdet wird. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.
D¨¦tails techniques
?bertragungsdetails
Wird m?glicherweise von folgenden Remote-Sites heruntergeladen:
- http://{BLOCKED}ofing.com/lib.php?la=w0HMRoflYGd7lbjgVe3hPH5ALSw8h2SpOT2SmBFy%2BHA%3D
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und f¨¹hrt sie aus:
- %AppDataLocal%\{random file name}.exe
F¨¹gt die folgenden Prozesse hinzu:
- svchost.exe
Bleibt speicherresident, indem Code in folgende Prozesse injiziert wird:
- created svchost.exe
Autostart-Technik
F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%AppDataLocal%\{random file name}.exe"
Andere System?nderungen
F¨¹gt die folgenden Registrierungsschl¨¹ssel hinzu:
HKEY_CURRENT_USER\Software\{random}
F¨¹gt die folgenden Registrierungseintr?ge hinzu:
HKEY_CURRENT_USER\Software\{random}
{random} = "{hex values}"
Backdoor-Routine
F¨¹hrt die folgenden Befehle eines externen, b?swilligen Benutzers aus:
- Sleep/Idle
- Download and execute arbitrary file
- Uninstall itself
- Download module and inject to svchost.exe
- Update itself
- Check latest malware version
- Manage registry
Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.
- http://{BLOCKED}0.{BLOCKED}4.59.5:443/{encrypted data}
- http://{BLOCKED}8.{BLOCKED}.219.150:443/{encrypted data}
- http://{BLOCKED}2.{BLOCKED}2.157.126:8080/{encrypted data}
- http://{BLOCKED}9.{BLOCKED}6.55.95:8080/{encrypted data}
- http://{BLOCKED}1.{BLOCKED}1.1.189:8080/{encrypted data}
- http://{BLOCKED}5.{BLOCKED}1.29.205:8080/{encrypted data}
Datendiebstahl
Folgende Daten werden gesammelt:
- Malware version
- Virtualization information
- Running debugger/forensic tools
- User name
- Local IP address
- Processor type
- OS version
- Antivirus product
- Firewall product
Solutions
Step 1
F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Im abgesicherten Modus neu starten
Step 3
Diesen Registrierungswert l?schen
Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random} = "%AppDataLocal%\{random file name}.exe"
- {random} = "%AppDataLocal%\{random file name}.exe"
Step 4
F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als BKDR_KULUOZ.VLT entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.
Participez ¨¤ notre enqu¨ºte!