Analys¨¦ par: Nikko Tamana   
 

Mal/Zbot-KK (Sophos), W32/Jorik_Duhsad.BNS!tr (Fortinet), Rogue:Win32/FakeDef (Microsoft), a variant of Win32/Kryptik.ASHC trojan (NOD32), Trojan-PWS.Win32.Zbot.aql (v) (Sunbelt)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
?±ô±ð±¹¨¦
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

Voie d'infection: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

Diese Malware hat keine Verbreitungsroutine.

Diese Malware hat keine Backdoor-Routine.

Anschlie?end werden die heruntergeladenen Dateien ausgef¨¹hrt. Dadurch k?nnen die b?sartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden. Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erw?hnten Sites jedoch nicht zug?nglich.

  D¨¦tails techniques

File size: 51,192 bytes
File type: EXE
Memory resident: Oui
Date de r¨¦ception des premiers ¨¦chantillons: 17 janvier 2013
Charge malveillante: Connects to URLs/IPs, Downloads files, Collects system information

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und f¨¹hrt sie aus:

  • {All Users' Profile}\Application Data\pcdfdata\{malware file name}.exe
  • %ProgramData%\pcdfdata\{malware file name}.exe - for Windows Vista and 7 only

F¨¹gt sich in die folgenden Prozesse ein, die im Speicher des betroffenen Systems ausgef¨¹hrt werden:

  • iexplore.exe

Erstellt die folgenden Ordner:

  • {All Users' Profile}\Application Data\pcdfdata
  • %ProgramData%\pcdfdata - for Windows Vista and 7 only

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Backdoor-Routine

Diese Malware hat keine Backdoor-Routine.

Download-Routine

?ffnet die folgenden Websites, um Dateien herunterzuladen:

  • http://{BLOCKED}ipadinitiating.org/content/scc

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • {All User's Profile}\Application Data\pcdfdata\vl.bin - encrypted FAKEAV file. The decrypted file is detected as TROJ_FAKEAV.BUTH
  • %ProgramData%\pcdfdata\vl.bin (Windows Vista and 7 only) - encrypted FAKEAV file. The decrypted file is detected as TROJ_FAKEAV.BUTH

Anschlie?end werden die heruntergeladenen Dateien ausgef¨¹hrt. Dadurch k?nnen die b?sartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.

Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erw?hnten Sites jedoch nicht zug?nglich.

  Solutions

Moteur de scan minimum: 9.300
First VSAPI Pattern File: 9.662.04
First VSAPI Pattern Release Date: 17 janvier 2013
VSAPI OPR Pattern Version: 9.663.00
VSAPI OPR Pattern Release Date: 18 janvier 2013

Step 1

F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt. Achten Sie auf Dateien, die als TROJ_DLOADR.BUTH entdeckt werden

Step 4

Im abgesicherten Modus neu starten

[ learnMore ]

Step 5

Diese Ordner suchen und l?schen

[ learnMore ]
Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu ber¨¹cksichtigen.
  • {All Users' Profile}\Application Data\pcdfdata
  • %ProgramData%\pcdfdata

Step 6

F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als TROJ_DLOADR.BUTH entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


Participez ¨¤ notre enqu¨ºte!

Fichier associ¨¦