TROJ_CRYPWAL.YOI

Um einen Überblick über das Verhalten dieser Trojan zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Ändert Registrierungseinträge, um verschiedene Systemdienste zu deaktivieren. Dadurch können die meisten Systemfunktionen nicht verwendet werden.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System Root%\{random 8 characters}\{random 8 characters}.exe
• %Application Data%\{random 8 characters}.exe
• %User Startup%\{random 8 characters}.exe

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Schleust die folgenden Dateien ein:

• %User Startup%\HELP_DECRYPT.HTML
• %User Startup%\HELP_DECRYPT.PNG
• %User Startup%\HELP_DECRYPT.TXT
• %User Startup%\HELP_DECRYPT.URL

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Schleust die folgenden Dateien ein und führt sie aus:

• %Desktop%\HELP_DECRYPT.HTML
• %Desktop%\HELP_DECRYPT.PNG
• %Desktop%\HELP_DECRYPT.TXT
• %Desktop%\HELP_DECRYPT.URL

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• explorer.exe
• svchost.exe

Wird in die folgenden Prozesse injiziert, die im Arbeitsspeicher ausgeführt werden:

• created explorer.exe
• created svchost.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*{random 6 characters} = "%System Root%\{random 8 characters}\{random 8 characters}.exe" (for Windows Vista and above only)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*{random 7 characters} = "%Application Data%\{random 8 characters}.exe" (for Windows Vista and above only)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random 7 characters} = "%System Root%\{random 8 characters}\{random 8 characters}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random 8 characters} = "%Application Data%\{random 8 characters}.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\{UID}

HKEY_CURRENT_USER\Software\{UID}\
{random key}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{RSA PUBLIC KEY}"

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{contents of HELP_DECRYPT.TXT}"

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{contents of HELP_DECRYPT.HTML}"

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{contents of HELP_DECRYPT.URL}"

HKEY_CURRENT_USER\Software\{UID}\
{random key}
{Path and file of encrypted file} = "{hex values}"

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = "1"

(Note: The default value data of the said registry entry is 0.)

Ändert Registrierungseinträge, um die folgenden Systemdienste zu deaktivieren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(Note: The default value data of the said registry entry is 2.)

Datendiebstahl

Folgende Daten werden gesammelt:

• Unique Identifier (UID)
• Machine Screenshot

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• {BLOCKED}a.com/img3.php
• {BLOCKED}de.com/img2.php
• {BLOCKED}wohnungen-diana.com/img1.php
• {BLOCKED}easset.com/img5.php
• {BLOCKED}c.us/img4.php
• {BLOCKED}dtile.net/img3.php
• {BLOCKED}bjx.com/img2.php
• {BLOCKED}talmd.com/img1.php
• {BLOCKED}alaria.org/img5.php
• {BLOCKED}9.com/img3.php
• {BLOCKED}on.com/img2.php
• {BLOCKED}oft.com/img1.php
• {BLOCKED}iaunited.com/img5.php
• {BLOCKED}oosphoto.com/img4.php
• {BLOCKED}orld.com/img3.php
• {BLOCKED}urch.com/img2.php
• {BLOCKED}rofreshional.com/img1.php
• {BLOCKED}hae.com/img4.php
• {BLOCKED}9.com/img2.php
• 90.{BLOCKED}nd.info/img1.php
• {BLOCKED}an.com/img1.php
• {BLOCKED}muslim-online.com/img5.php
• {BLOCKED}m.com/img4.php
• {BLOCKED}zateonline.com/img3.php
• {BLOCKED}yber.com/img2.php
• {BLOCKED}et.com/img1.php
• {BLOCKED}-ng.com/img5.php
• {BLOCKED}8.com/img5.php
• {BLOCKED}n-guvenlik.com/img4.php

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• 3dm
• 3ds
• 3fr
• 3g2
• 3gp
• 3pr
• 7z
• ab4
• accdb
• accde
• accdr
• accdt
• ach
• acr
• act
• adb
• ads
• agdl
• ai
• ait
• al
• apj
• arw
• asf
• asm
• asp
• asx
• avi
• awg
• back
• backup
• backupdb
• bak
• bank
• bay
• bdb
• bgt
• bik
• bkp
• blend
• bpw
• c
• cdf
• cdr
• cdr3
• cdr4
• cdr5
• cdr6
• cdrw
• cdx
• ce1
• ce2
• cer
• cfp
• cgm
• cib
• class
• cls
• cmt
• cpi
• cpp
• cr2
• craw
• crt
• crw
• cs
• csh
• csl
• csv
• dac
• db
• db3
• dbf
• db-journal
• dc2
• dcr
• dcs
• ddd
• ddoc
• ddrw
• dds
• der
• des
• design
• dgc
• djvu
• dng
• doc
• docm
• docx
• dot
• dotm
• dotx
• drf
• drw
• dtd
• dwg
• dxb
• dxf
• dxg
• eml
• eps
• erbsql
• erf
• exf
• fdb
• ffd
• fff
• fh
• fhd
• fla
• flac
• flv
• fpx
• fxg
• gray
• grey
• gry
• h
• hbk
• hpp
• ibank
• ibd
• ibz
• idx
• iif
• iiq
• incpas
• indd
• java
• jpe
• jpeg
• jpg
• kc2
• kdbx
• kdc
• key
• kpdx
• lua
• m
• m4v
• max
• mdb
• mdc
• mdf
• mef
• mfw
• mmw
• moneywell
• mos
• mov
• mp3
• mp4
• mpg
• mrw
• msg
• myd
• nd
• ndd
• nef
• nk2
• nop
• nrw
• ns2
• ns3
• ns4
• nsd
• nsf
• nsg
• nsh
• nwb
• nx2
• nxl
• nyf
• oab
• obj
• odb
• odc
• odf
• odg
• odm
• odp
• ods
• odt
• oil
• orf
• ost
• otg
• oth
• otp
• ots
• ott
• p12
• p7b
• p7c
• pab
• pages
• pas
• pat
• pcd
• pct
• pdb
• pdd
• pdf
• pef
• pem
• pfx
• php
• pl
• plc
• pot
• potm
• potx
• ppam
• pps
• ppsm
• ppsx
• ppt
• pptm
• pptx
• prf
• ps
• psafe3
• psd
• pspimage
• pst
• ptx
• py
• qba
• qbb
• qbm
• qbr
• qbw
• qbx
• qby
• r3d
• raf
• rar
• rat
• raw
• rdb
• rm
• rtf
• rw2
• rwl
• rwz
• s3db
• sas7bdat
• say
• sd0
• sda
• sdf
• sldm
• sldx
• sql
• sqlite
• sqlite3
• sqlitedb
• sr2
• srf
• srt
• srw
• st4
• st5
• st6
• st7
• st8
• std
• sti
• stw
• stx
• svg
• swf
• sxc
• sxd
• sxg
• sxi
• sxi
• sxm
• sxw
• tex
• tga
• thm
• tlg
• txt
• vob
• wallet
• wav
• wb2
• wmv
• wpd
• wps
• x11
• x3f
• xis
• xla
• xlam
• xlk
• xlm
• xlr
• xls
• xlsb
• xlsm
• xlsx
• xlt
• xltm
• xltx
• xlw
• ycbcra
• yuv
• zip
• +MuhD