WORM64_WMINE.A

Canal de infecção: Fallen gelassen von anderer Malware

Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen.

Nutzt unbekannte Software-Schwachstellen, um sich in Netzwerken zu verbreiten.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Tipo de compactação: 505,856 bytes

Tipo de arquivo: EXE

Residente na memória: Sim

Data de recebimento das amostras iniciais: 04 maio 2018

Übertragungsdetails

Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen.

Installation

Fügt die folgenden Ordner hinzu:

%Windows%\SpeechsTracing
%Windows%\SpeechsTracing\Microsoft

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust die folgenden Dateien ein:

%Windows%\SpeechsTracing\Crypt - ZIP file containing files required for Eternalblue-DoublePulsar exploit, deleted afterwards.

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

{F5175396-40C2-0218-278D6EE}

Verbreitung

Nutzt die folgenden Software-Schwachstellen, um sich in Netzwerken zu verbreiten:

Microsoft Windows SMB Server (MS17-010) Vulnerability

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

http://er{BLOCKED}.{BLOCKED}endecr.com:8080/error
http://ta{BLOCKED}.{BLOCKED}endecr.com/tasks
http://er{BLOCKED}.{BLOCKED}endecr.com:8080/log
http://sc{BLOCKED}.{BLOCKED}endecr.com/status

Für ihre ordnungsgemäße Ausführung sind die folgenden zusätzlichen Komponenten erforderlich:

%System%\EnrollCertXaml.dll - contains files required for Eternalblue-Doublepulsar exploit

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Mecanismo de varredura mínima: 9.850

Primeiro arquivo padrão VSAPI: 14.286.02

Data do lançamento do primeiro padrão VSAPI: 31 maio 2018

VSAPI OPR Pattern Version: 14.287.00

VSAPI OPR Pattern veröffentlicht am: 01 junho 2018

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Im abgesicherten Modus neu starten

[ Saber mais ]

Step 4

Diese Dateien suchen und löschen

[ Saber mais ]

Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.

%Windows%\SpeechsTracing\Microsoft\adfw-2.dll
%Windows%\SpeechsTracing\Microsoft\adfw.dll
%Windows%\SpeechsTracing\Microsoft\cnli-0.dll
%Windows%\SpeechsTracing\Microsoft\cnli-1.dll
%Windows%\SpeechsTracing\Microsoft\coli-0.dll
%Windows%\SpeechsTracing\Microsoft\crli-0.dll
%Windows%\SpeechsTracing\Microsoft\dmgd-1.dll
%Windows%\SpeechsTracing\Microsoft\dmgd-4.dll
%Windows%\SpeechsTracing\Microsoft\esco-0.dll
%Windows%\SpeechsTracing\Microsoft\etch-0.dll
%Windows%\SpeechsTracing\Microsoft\etchCore-0.x64.dll
%Windows%\SpeechsTracing\Microsoft\etchCore-0.x86.dll
%Windows%\SpeechsTracing\Microsoft\eteb-2.dll
%Windows%\SpeechsTracing\Microsoft\etebCore-2.x64.dll
%Windows%\SpeechsTracing\Microsoft\etebCore-2.x86.dll
%Windows%\SpeechsTracing\Microsoft\Eternalblue-2.2.0.fb
%Windows%\SpeechsTracing\Microsoft\Eternalchampion-2.0.0.fb
%Windows%\SpeechsTracing\Microsoft\exma-1.dll
%Windows%\SpeechsTracing\Microsoft\exma.dll
%Windows%\SpeechsTracing\Microsoft\iconv.dll
%Windows%\SpeechsTracing\Microsoft\libcurl.dll
%Windows%\SpeechsTracing\Microsoft\libeay32.dll
%Windows%\SpeechsTracing\Microsoft\libiconv-2.dll
%Windows%\SpeechsTracing\Microsoft\libxml2.dll
%Windows%\SpeechsTracing\Microsoft\out.dll
%Windows%\SpeechsTracing\Microsoft\pcla-0.dll
%Windows%\SpeechsTracing\Microsoft\pcre-0.dll
%Windows%\SpeechsTracing\Microsoft\pcrecpp-0.dll
%Windows%\SpeechsTracing\Microsoft\pcreposix-0.dll
%Windows%\SpeechsTracing\Microsoft\posh-0.dll
%Windows%\SpeechsTracing\Microsoft\posh.dll
%Windows%\SpeechsTracing\Microsoft\pytrch.py
%Windows%\SpeechsTracing\Microsoft\pytrch.pyc
%Windows%\SpeechsTracing\Microsoft\riar-2.dll
%Windows%\SpeechsTracing\Microsoft\riar.dll
%Windows%\SpeechsTracing\Microsoft\spoolsv.xml
%Windows%\SpeechsTracing\Microsoft\ssleay32.dll
%Windows%\SpeechsTracing\Microsoft\svchost.xml
%Windows%\SpeechsTracing\Microsoft\tibe-1.dll
%Windows%\SpeechsTracing\Microsoft\tibe-2.dll
%Windows%\SpeechsTracing\Microsoft\tibe.dll
%Windows%\SpeechsTracing\Microsoft\trch-0.dll
%Windows%\SpeechsTracing\Microsoft\trch-1.dll
%Windows%\SpeechsTracing\Microsoft\trch.dll
%Windows%\SpeechsTracing\Microsoft\trfo-0.dll
%Windows%\SpeechsTracing\Microsoft\trfo-2.dll
%Windows%\SpeechsTracing\Microsoft\trfo.dll
%Windows%\SpeechsTracing\Microsoft\tucl-1.dll
%Windows%\SpeechsTracing\Microsoft\tucl.dll
%Windows%\SpeechsTracing\Microsoft\ucl.dll
%Windows%\SpeechsTracing\Microsoft\xdvl-0.dll
%Windows%\SpeechsTracing\Microsoft\zibe.dll
%Windows%\SpeechsTracing\Microsoft\zlib1.dll
%Windows%\SpeechsTracing\Microsoft\_pytrch.pyd
%Windows%\SpeechsTracing\Microsoft\x86.dll
%Windows%\SpeechsTracing\Microsoft\x64.dll
%Windows%\SpeechsTracing\Microsoft\stage1.txt
%Windows%\SpeechsTracing\Microsoft\stage2.txt
%Windows%\SpeechsTracing\Microsoft\spoolsv.exe
%Windows%\SpeechsTracing\Microsoft\svchost.exe
%System%\EnrollCertXaml.dll
%Windows%\SpeechsTracing\Crypt

DATA_GENERIC_FILENAME_1

Wählen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und drücken Sie die Eingabetaste.

Markieren Sie die gefundene Datei, und drücken Sie UMSCHALT+ENTF, um sie endgültig zu löschen.

Wiederholen Sie die Schritte 2 bis 4 für die übrigen Dateien: %Windows%\SpeechsTracing\Microsoft\adfw-2.dll
%Windows%\SpeechsTracing\Microsoft\adfw.dll
%Windows%\SpeechsTracing\Microsoft\cnli-0.dll
%Windows%\SpeechsTracing\Microsoft\cnli-1.dll
%Windows%\SpeechsTracing\Microsoft\coli-0.dll
%Windows%\SpeechsTracing\Microsoft\crli-0.dll
%Windows%\SpeechsTracing\Microsoft\dmgd-1.dll
%Windows%\SpeechsTracing\Microsoft\dmgd-4.dll
%Windows%\SpeechsTracing\Microsoft\esco-0.dll
%Windows%\SpeechsTracing\Microsoft\etch-0.dll
%Windows%\SpeechsTracing\Microsoft\etchCore-0.x64.dll
%Windows%\SpeechsTracing\Microsoft\etchCore-0.x86.dll
%Windows%\SpeechsTracing\Microsoft\eteb-2.dll
%Windows%\SpeechsTracing\Microsoft\etebCore-2.x64.dll
%Windows%\SpeechsTracing\Microsoft\etebCore-2.x86.dll
%Windows%\SpeechsTracing\Microsoft\Eternalblue-2.2.0.fb
%Windows%\SpeechsTracing\Microsoft\Eternalchampion-2.0.0.fb
%Windows%\SpeechsTracing\Microsoft\exma-1.dll
%Windows%\SpeechsTracing\Microsoft\exma.dll
%Windows%\SpeechsTracing\Microsoft\iconv.dll
%Windows%\SpeechsTracing\Microsoft\libcurl.dll
%Windows%\SpeechsTracing\Microsoft\libeay32.dll
%Windows%\SpeechsTracing\Microsoft\libiconv-2.dll
%Windows%\SpeechsTracing\Microsoft\libxml2.dll
%Windows%\SpeechsTracing\Microsoft\out.dll
%Windows%\SpeechsTracing\Microsoft\pcla-0.dll
%Windows%\SpeechsTracing\Microsoft\pcre-0.dll
%Windows%\SpeechsTracing\Microsoft\pcrecpp-0.dll
%Windows%\SpeechsTracing\Microsoft\pcreposix-0.dll
%Windows%\SpeechsTracing\Microsoft\posh-0.dll
%Windows%\SpeechsTracing\Microsoft\posh.dll
%Windows%\SpeechsTracing\Microsoft\pytrch.py
%Windows%\SpeechsTracing\Microsoft\pytrch.pyc
%Windows%\SpeechsTracing\Microsoft\riar-2.dll
%Windows%\SpeechsTracing\Microsoft\riar.dll
%Windows%\SpeechsTracing\Microsoft\spoolsv.xml
%Windows%\SpeechsTracing\Microsoft\ssleay32.dll
%Windows%\SpeechsTracing\Microsoft\svchost.xml
%Windows%\SpeechsTracing\Microsoft\tibe-1.dll
%Windows%\SpeechsTracing\Microsoft\tibe-2.dll
%Windows%\SpeechsTracing\Microsoft\tibe.dll
%Windows%\SpeechsTracing\Microsoft\trch-0.dll
%Windows%\SpeechsTracing\Microsoft\trch-1.dll
%Windows%\SpeechsTracing\Microsoft\trch.dll
%Windows%\SpeechsTracing\Microsoft\trfo-0.dll
%Windows%\SpeechsTracing\Microsoft\trfo-2.dll
%Windows%\SpeechsTracing\Microsoft\trfo.dll
%Windows%\SpeechsTracing\Microsoft\tucl-1.dll
%Windows%\SpeechsTracing\Microsoft\tucl.dll
%Windows%\SpeechsTracing\Microsoft\ucl.dll
%Windows%\SpeechsTracing\Microsoft\xdvl-0.dll
%Windows%\SpeechsTracing\Microsoft\zibe.dll
%Windows%\SpeechsTracing\Microsoft\zlib1.dll
%Windows%\SpeechsTracing\Microsoft\_pytrch.pyd
%Windows%\SpeechsTracing\Microsoft\x86.dll
%Windows%\SpeechsTracing\Microsoft\x64.dll
%Windows%\SpeechsTracing\Microsoft\stage1.txt
%Windows%\SpeechsTracing\Microsoft\stage2.txt
%Windows%\SpeechsTracing\Microsoft\spoolsv.exe
%Windows%\SpeechsTracing\Microsoft\svchost.exe
%System%\EnrollCertXaml.dll
%Windows%\SpeechsTracing\Crypt

Step 5

Diese Ordner suchen und löschen

[ Saber mais ]

Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.

%Windows%\SpeechsTracing
%Windows%\SpeechsTracing\Microsoft

Step 6

Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als WORM64_WMINE.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Step 7

Diesen Sicherheits-Patch herunterladen und übernehmen Verwenden Sie diese Produkte erst, wenn die entsprechenden Patches installiert wurden. Trend Micro empfiehlt Benutzern, wichtige Patches nach der Veröffentlichung sofort herunterzuladen.

Microsoft Security Bulletin MS17-010

Participe da nossa pesquisa!

Visão geral

Detalhes técnicos

Solução

Recursos

Suporte

Sobre a Trend

Country Headquarters

WORM64_WMINE.A

Visão geral

Detalhes técnicos

Solução

Recursos

Suporte

Sobre a Trend

Country Headquarters

Américas

Oriente Médio & África

Europa

Ásia&Pacífico