WORM_COINMINER.INJ

Verbreitet sich über Freigabenetzwerke und schleust Eigenkopien in verfügbare Netzwerke ein.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %Application Data%\Temps\DOC001.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

• %User Temp%\nst{4 random characters}.tmp\inetc.dll - connects to download java12.exe
• %User Temp%\java.exe - detected as Coinminer_MALBTC.C-SFX (which will drop a file detected as Coinminer_MALBTC.C)
• %Temporary Internet Files%\Content.IE5\{8 Random Characters}\java[1].dat - detected as Coinminer_MALBTC.C-SFX
• %User Temp%\java12.exe - deleted afterwards

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein und führt sie aus:

• %Application Data%\Temps\NsCpuCNMiner32.exe - detected as Coinminer_MALXMR.SM-WIN32
• %Application Data%\Temps\NsCpuCNMiner64.exe - detected as Coinminer_CryptoNight.SM-WIN64
• %AppDataLocal%\Temp\java.exe - detected as Coinminer_MALBTC.C-SFX

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

• %Application Data%\Temps\

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Schleust die folgenden Dateien in den Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

• %Application Data%\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk (which points to the dropped copy in %Application Data%\Temps\DOC001.exe)

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Verbreitung

Verbreitet sich über Freigabenetzwerke und schleust Eigenkopien in verfügbare Netzwerke ein.

Schleust Eigenkopien in die folgenden Laufwerke ein:

• {All Available Drives}:\DOC001.exe

Download-Routine

Lädt die Datei von folgendem URL herunter und benennt sie um, wenn sie auf dem betroffenen System gespeichert wird:

• http://{BLOCKED}1s.ru/java.dat
• http://{BLOCKED}1s.ru/tess.html
• http://{BLOCKED}op.ru/java12.dat
• http://{BLOCKED}îp.ru/ (site is inaccessible)