Analys¨¦ par: Anthony Joe Melgarejo   
 

W32/Kryptik.CKUG!tr (Fortinet); Trojan.Carberp.B (Symantec); PWS:Win32/Sekur (Microsoft)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
?±ô±ð±¹¨¦
Critique

  • Type de grayware:
    Backdoor

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Voie d'infection: Fallen gelassen von anderer Malware, Aus dem Internet heruntergeladen

Um einen ?berblick ¨¹ber das Verhalten dieser Backdoor zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

F¨¹hrt Befehle eines externen, b?swilligen Benutzers aus, wodurch das betroffene System gef?hrdet wird. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

L?scht sich nach der Ausf¨¹hrung selbst.

  D¨¦tails techniques

File size: 175,016 bytes
File type: EXE
Memory resident: Oui
Date de r¨¦ception des premiers ¨¦chantillons: 29 ao?t 2015
Charge malveillante: Compromises system security, Connects to URLs/IPs, Gathers system information

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %All Users Profile%\Application Data\Mozilla\svchost.exe - for Windows XP and prior OS versions
  • %ProgramData%\Mozilla\svchost.exe - for Windows Vista and later OS versions

Erstellt die folgenden Ordner:

  • %All Users Profile%\Application Data\Mozilla - for Windows XP and later OS versions
  • %ProgramData%\Mozilla - for Windows 7 and later OS versions

Injiziert Code in die folgenden Prozesse:

  • created svchost.exe

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgef¨¹hrt wird, indem sie die folgenden Registrierungseintr?ge hinzuf¨¹gt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}Sys
ImagePath = "%ProgramData%\Mozilla\svchost.exe - for Windows Vista and later OS versions"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}Sys
ImagePath = "%All Users Profile%\Application Data\Mozilla\svchost.exe - for Windows XP and prior OS versions"

Registriert sich als Systemdienst, damit die Ausf¨¹hrung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschl¨¹ssel hinzuf¨¹gt werden:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{random service name}Sys

Backdoor-Routine

F¨¹hrt die folgenden Befehle eines externen, b?swilligen Benutzers aus:

  • Capture and send screenshots
  • Capture and send video
  • Download configuration file
  • Download and execute arbitrary files
  • Download third party remote desktop protocol software that will be used for remote access
  • Update itself
  • Restart the machine
  • Check state of malware

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

  • http://{BLOCKED}.{BLOCKED}.167.28:443

Sendet die folgenden Informationen an ihren Befehls- und Steuerungsserver (C&C):

  • OS version
  • number of processors
  • computer name
  • username
  • current time

Andere Details

Schleust folgende Dateien/Komponenten ein:

  • %All Users Profile%\Application Data\Mozilla\{random file name}.bin - for Windows XP and prior OS versions
  • %Program Data%\Mozilla\{random file name}.bin - for Windows Vista and laterr OS versions

L?scht sich nach der Ausf¨¹hrung selbst.

  Solutions

Moteur de scan minimum: 9.750

Step 1

F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 4

Diesen Registrierungsschl¨¹ssel l?schen

[ learnMore ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • {random service name}Sys

Step 5

Diesen Ordner suchen und l?schen

[ learnMore ]
Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu ber¨¹cksichtigen.
  • %All Users Profile%\Application Data\Mozilla - for Windows XP and later OS versions
  • %ProgramData%\Mozilla - for Windows Vista and later OS versions

Step 6

F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als BKDR_CARBANAK.C entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


Participez ¨¤ notre enqu¨ºte!

Fichier associ¨¦