Analys¨¦ par: John Anthony Banes   
 Modifi¨¦ par: : Augusto II Remillano
 

Trojan.Win32.Jorik.IRCbot.vst (Kaspersky), Worm:Win32/Phorpiex.B (Microsoft), Win32/Phorpiex.A worm (NOD32)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
?±ô±ð±¹¨¦
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

However, as of this writing, the said sites are inaccessible.

Beendet sich selbst, falls festgestellt wird, dass die Ausf¨¹hrung in einer virtuellen Umgebung erfolgt.

  D¨¦tails techniques

File size: 247,888 bytes
File type: EXE
Memory resident: Oui
Date de r¨¦ception des premiers ¨¦chantillons: 09 septembre 2018

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %User Profile%\8586588698487385\winsvc.exe

(Hinweis: %User Profile% ist der Ordner f¨¹r Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %User Profile%\8586588698487385

(Hinweis: %User Profile% ist der Ordner f¨¹r Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

F¨¹gt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgef¨¹hrt wird:

  • 5f75e76g7

Autostart-Technik

F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Windows Update = "%User Profile%\8586588698487385\winsvc.exe"

Andere System?nderungen

F¨¹gt die folgenden Registrierungsschl¨¹ssel hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List\%User Profile%\8586588698487385

F¨¹gt die folgenden Registrierungseintr?ge hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List\%User Profile%\8586588698487385
winsvc.exe = "%User Profile%\8586588698487385\winsvc.exe:*:Enabled:Microsoft Windows Update"

Verbreitung

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

  • {drive letter}\843921.exe

Backdoor-Routine

Verbindet sich mit einem oder mehreren der folgenden IRC-Server:

  • w4h{BLOCKED}3488h.net
  • 39f{BLOCKED}ewhd.net
  • 489{BLOCKED}deem.net
  • a{BLOCKED}m.in

However, as of this writing, the said sites are inaccessible.

Andere Details

Beendet sich selbst, falls festgestellt wird, dass die Ausf¨¹hrung in einer virtuellen Umgebung erfolgt.

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 14.496.01
First VSAPI Pattern Release Date: 10 septembre 2018
VSAPI OPR Pattern Version: 14.497.00
VSAPI OPR Pattern Release Date: 11 septembre 2018

Step 1

¹ó¨¹°ù Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Dateien erkennen und deaktivieren, die als Worm.Win32.PHORPIEX.AB entdeckt wurden

[ learnMore ]
  1. ¹ó¨¹°ù Windows 98 und ME Benutzer: Der Windows Task-Manager zeigt m?glicherweise nicht alle aktiven Prozesse an. Verwenden Sie in diesem Fall einen Prozess-Viewer eines Drittanbieters, vorzugsweise Process Explorer, um die Malware-/Grayware-/Spyware-Datei zu beenden. Dieses Tool k?nnen Sie .
    2. herunterladen.
  2. Wenn die entdeckte Datei im Windows Task-Manager oder Process Explorer angezeigt wird, aber nicht gel?scht werden kann, starten Sie Ihren Computer im abgesicherten Modus neu. Klicken Sie auf diesen Link, um alle erforderlichen Schritte anzuzeigen.
  3. Wenn die entdeckte Datei nicht im Windows Task-Manager oder im Process Explorer angezeigt wird, fahren Sie mit den n?chsten Schritten fort.

Step 4

Diesen Registrierungsschl¨¹ssel l?schen

[ learnMore ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

?
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%User Profile%
    • 8586588698487385

Step 5

Diesen Registrierungswert l?schen

[ learnMore ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Microsoft Windows Update = "%User Profile%\8586588698487385\winsvc.exe"

Step 6

Diese Ordner suchen und l?schen

[ learnMore ]
Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu ber¨¹cksichtigen.
  • %User Profile%\8586588698487385

Step 7

Diese Datei suchen und l?schen

[ learnMore ]
M?glicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu ber¨¹cksichtigen. ?
  • {removable drive}\{folder name}.lnk

Step 8

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt, und l?schen Sie Dateien, die als Worm.Win32.PHORPIEX.AB entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.

Step 9

  1. ?ffnen Sie eine Befehlszeile.
    • Benutzer von Windows 2000, Windows XP und Windows Server 2003: Klicken Sie auf ³§³Ù²¹°ù³Ù>´¡³Ü²õ´Ú¨¹³ó°ù±ð²Ô. Geben Sie im Feld "?ffnen" CMD ein, und dr¨¹cken Sie dann die Eingabetaste.
    • Benutzer von Windows Vista und Windows 7: Klicken Sie auf Start, geben Sie CMD in das Eingabefeld Suche starten ein, und dr¨¹cken Sie die Eingabetaste.
  2. Geben Sie an der CMD-Konsole Folgendes ein:

    ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I] [Laufwerk:][Pfad][Dateiname] [/S [/D] [/L]]

    Wobei Folgendes gilt:
    + Legt ein Attribut fest.
    - L?scht ein Attribut.
    R Attribut f¨¹r schreibgesch¨¹tzte Datei
    A Attribut f¨¹r Archivdatei
    S Attribut f¨¹r Systemdatei
    H Attribut f¨¹r verborgene Datei
    I Attribut f¨¹r unindiziert Datei
    [Laufwerk:][Pfad][Dateiname]
    Gibt eine Datei bzw. Dateien an, die durch "attrib" verarbeitet werden sollen.
    /S Verarbeitet die zutreffenden Dateien im aktuellen Ordner und allen Unterordnern.
    /D Verarbeitet Ordner
    /L ?ndert Attribute des symbolischen Links statt des Ziels des symbolischen Links
    Beispiel:
    So blenden Sie alle Dateien und Ordner (einschlie?lich der Unterordner) in Laufwerk D: ein
    ATTRIB ¨CH D:\* /S /D
  3. Wiederholen Sie Schritt 3 f¨¹r Ordner und Dateien auf anderen Laufwerken oder in anderen Verzeichnissen.


Participez ¨¤ notre enqu¨ºte!