Analyse von: Cris Nowell Pantanilla   

 

Trojan:Win32/Skeeyah.A!rfn (Microsoft), Trojan-Downloader.Win32.Carberp (Ikarus)

 Plattform:

Windows

 Risikobewertung (gesamt):
 reportedInfection:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Ja

  • In the wild::
    Ja

  Überblick

Infektionsweg: Fallen gelassen von anderer Malware

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

  Technische Details

Dateigröße: 256,512 bytes
Dateityp: EXE
Speicherresiden: Ja
Erste Muster erhalten am: 31 Mai 2017
Schadteil: Deletes files

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Windows%\rdpinst.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Schleust folgende Komponentendateien ein:

  • %Windows%\F5Ws94kb.txt
  • %Windows%\PsfjH4KN.txt
  • %Windows%\VZT6nsdX.txt
  • %Windows%\zhsw8lZB.txt

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
aaa99 = "%Windows%\rdpinst.exe"

Andere Systemänderungen

Löscht die folgenden Dateien:

  • %Application Data%\NTUSER.DAT
  • %Windows%\bootstat.dat
  • %Windows%\bootstat2.dat
  • C:\Users\All Users\Documents\suchost..exe
  • C:\desktop.ini
  • C:\recycler
  • C:\sYstem.vbs
  • DDEDSDM\dde.exe
  • Google\update\GoogleUpdate.exe
  • Installed\mbarservice.exe
  • Microsoft\Super Fitch x86\SuperFitch_x86.exe
  • Microsoft\Windows\Default settings protector\dsp.exe
  • Microsoft\Windows\Loadmnge32\Loadmnge32.exe
  • Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe
  • Microsoft\Windows\Officecompiler\Officecompiler.exe
  • Microsoft\Windows\Start Menu\MSDCSC\msdcsc.exe
  • Mobile Internet\OnlineUpdate\ouc.exe
  • SetWallpaper.cmd
  • Sysconfig\Sysconfig.exe
  • Updata\GoogleUpdata.exe
  • WPM\wprotectmanager.exe
  • Windows Update\svrupg.exe
  • WindowsInstaller\windows.exe
  • Windows\check.vbs
  • Windows\csrss.exe
  • Windows\winpoint
  • \MSDCSC\msdcsc.exe
  • cmds.exe
  • explorer.exe
  • fastan~1\FastAndSafeSvc.dll
  • lsasss\lsasss.exe
  • microsoft\dwmgr.exe
  • newnext.me\nengine.dll
  • nightupdate\svchost.exe
  • start\update.exe
  • svchost.exe
  • temp\beta\vpn.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Löscht die folgenden Ordner:

  • .clamwin
  • 360
  • 360SD
  • AVAST Software
  • AVG
  • AVG Nation toolbar
  • AVS4YOU
  • Acceleration Software
  • Ad-Aware Antivirus
  • Advanced System Protector
  • Advanced SystemCare 6
  • Advanced SystemCare 7
  • Advanced SystemCare 8
  • Agnitum
  • AhnLab
  • Alwil Software
  • AntiVir PersonalEdition Classic
  • AntiVirus
  • AntiWinLocker
  • Anvisoft\Anvi Smart Defender
  • Arcabit
  • Archivos comunes\AVG Secure Search
  • Arquivos comuns\AVG Secure Search
  • Ashampoo\Ashampoo Anti-Virus
  • Ashampoo\Ashampoo FireWall FREE
  • Avanquest
  • Avetix
  • Avira
  • BLuPro
  • Baidu
  • Baidu Security
  • BillP Studios
  • BitGuard
  • Bitdefender
  • Bitdefender Agent
  • Bkav Corporation
  • Bkav2006
  • BkavHome
  • BkavHomePlus
  • BkavPro
  • BkavProIS
  • Blue Coat K9 Web Protection
  • Blue Ridge Networks
  • BullGuard
  • BullGuard Ltd
  • CA
  • CMC\Antivirus
  • CMC\Internet Security
  • COMODO
  • Cezurity
  • CheckPoint
  • ClamWin
  • Common Files\AVG Secure Search
  • Common Files\AV\McAfee Anti-Virus And Anti-Spyware
  • Common Files\Baidu
  • Common Files\Bitdefender
  • Common Files\BullGuard Ltd
  • Common Files\COMODO
  • Common Files\Commtouch\AntiVirus5
  • Common Files\Doctor Web
  • Common Files\G Data
  • Common Files\InfoWatch
  • Common Files\Intel Security
  • Common Files\McAfee
  • Common Files\MicroWorld
  • Common Files\Panda Security
  • Common Files\Steganos\OnlineShield
  • Common Files\Symantec Shared
  • Common Files\TrustPort
  • Common Files\eAcceleration
  • Comodo Downloader
  • Crystal Security
  • DefenseWall
  • Doctor Web
  • DrWeb
  • DrWeb AV-Desk
  • DrWeb Enterprise Suite
  • EMCO\Malware Destroyer 5
  • EMCO\Malware Destroyer 6
  • EMCO\Malware Destroyer 7
  • EMCO\Malware Destroyer 8
  • ESET
  • ESTsoft\ALYac
  • Elex-tech\YAC
  • Emsisoft
  • Emsisoft Anti-Malware
  • Emsisoft Internet Security
  • Essentware\PCKAV
  • F-Secure
  • FRISK Software
  • File comuni\AVG Secure Search
  • Filseclab
  • Fortego Security
  • Fortinet
  • G DATA Software
  • G Data
  • GFI
  • GlassWire
  • GridinSoft Anti-Malware
  • Grisoft
  • HAURI
  • IKARUS
  • INCAInternet\nProtect Netizen v5.5
  • INCAInternet\nProtect Online Security
  • IObit
  • Immunet
  • Intel Security
  • Jetico
  • K7 Computing
  • Kaspersky Lab
  • Kerio
  • Kingsoft\PCDoctor
  • Lavasoft
  • Loaris\Trojan Remover
  • MPC Cleaner
  • MSDL-MSDLAV
  • Malware Defender
  • Malwarebytes
  • Malwarebytes Anti-Exploit
  • Malwarebytes Anti-Malware
  • Malwarebytes' Anti-Malware
  • Mamutu
  • McAfee
  • McAfee Security Scan
  • McAfee.com
  • McAfeeMOBK
  • MicroWorld
  • Microsoft Forefront
  • Microsoft Security Client
  • Microsoft Security Essentials
  • MinerGate
  • MinerGate-service
  • Moon Secure Antivirus
  • N-able Technologies
  • NANO Antivirus
  • NETGATE\Amiti Antivirus
  • NETGATE\FortKnox Personal Firewall
  • NETGATE\Spy Emergency
  • Net Protector 2011
  • Net Protector 2014
  • NetPolice
  • Network Associates\VirusScan
  • NetworkShield Firewall 3.0
  • NoVirusThanks
  • Nora Antimalware Scanner
  • Norman
  • Norton 360
  • Norton Anti-Theft
  • Norton AntiVirus
  • Norton Internet Security
  • Norton Security
  • Norton Security Scan
  • Norton Security with Backup
  • NortonInstaller
  • Online Armor
  • OnlineArmor
  • PC Tools
  • PC Tools Firewall Plus
  • PC Tools Security
  • PSafe
  • Padvish Antivirus
  • Panda Security
  • Panda Security URL Filtering
  • PeerBlock
  • Preventon Antivirus
  • Privacyware
  • Proland
  • Proland Software
  • Quick Heal
  • Reason\Security
  • Returnil
  • Rising
  • Roboscan
  • Ruiware
  • STOPzilla Optimizer
  • STOPzilla!
  • SUPERAntiSpyware
  • SecuraLive Internet Security
  • SecureAge
  • Smadav
  • Sophos
  • SpyShelter
  • SpyShelter Premium
  • Spybot - Search & Destroy
  • Spybot - Search & Destroy 2
  • Spyware Doctor
  • Spyware Terminator
  • Steganos Online Shield
  • StopSign
  • Sygate\SPF
  • Symantec AntiVirus
  • Symantec.cloud
  • Symantec\LiveUpdate
  • Symantec\Symantec Endpoint Protection
  • Symantec\Symantec Endpoint Protection Manager
  • Tencent\QQPCMgr
  • ThreatFire
  • Tiranium AntiVirus
  • Tizer Secure
  • Total Defense
  • TotalDefense
  • TrafInsp
  • Trend Micro
  • Trend Micro Installer
  • Trojan Remover
  • TrojanHunter
  • TrojanHunter 5.1
  • TrojanHunter 5.2
  • TrojanHunter 5.3
  • TrojanHunter 5.4
  • TrojanHunter 5.5
  • TrojanHunter 5.6
  • TrojanHunter 5.7
  • TrojanHunter 5.8
  • TrojanHunter 5.9
  • TrustPort
  • UPCleaner
  • UnHackMe
  • UnThreat
  • UnThreat AntiVirus
  • VIPRE
  • Vba32
  • VnSecurity 2008
  • WRData
  • Webroot
  • WinPcap
  • WinRoute Pro
  • Winalysis
  • Windows Defender
  • Zillya Antivirus
  • Zillya Internet Security
  • Zillya! Internet Security
  • avast
  • eAcceleration
  • eSafe
  • eScan
  • eScan Web Safe
  • geswall
  • kingsoft\kingsoft antivirus
  • kingsoft\ksdef
  • mks_vir_9
  • nanoav
  • nanolsp
  • pandasecuritytb
  • xCore Software

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
fs57 = "%Windows%\system32\netsh.exe winsock reset"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
fs32 = "%Windows%\system32\bcdedit.exe /set {current} recoveryenabled No"

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0

(Note: The default value data of the said registry entry is 5.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
PromptOnSecureDesktop = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Session Manager
BootExecute = "autocheck autochk * {malware path and name}"

(Note: The default value data of the said registry entry is "autocheck autochk *".)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = 1

(Note: The default value data of the said registry entry is 0.)

  Lösungen

Mindestversion der Scan Engine: 9.850
Erste VSAPI Pattern-Datei: 13.440.07
Erste VSAPI Pattern veröffentlicht am: 31 Mai 2017
VSAPI OPR Pattern-Version: 13.441.00
VSAPI OPR Pattern veröffentlicht am: 01 Juni 2017

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • fs32 = "%SystemRoot%\system32\bcdedit.exe /set {current} recoveryenabled No"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • fs57 = "%SystemRoot%\system32\netsh.exe winsock reset"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • aaa99 = "%Windows%\rdpinst.exe"

Step 3

Diesen geänderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • From: ConsentPromptBehaviorAdmin = 5
      To: ConsentPromptBehaviorAdmin = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • From: EnableLUA = 0
      To: EnableLUA = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • From: PromptOnSecureDesktop = 0
      To: PromptOnSecureDesktop = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
    • From: BootExecute = "autocheck autochk * {malware path and name}"
      To: BootExecute = "autocheck autochk *"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • From: AntiVirusOverride = 1
      To: AntiVirusOverride = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • From: FirewallOverride = 1
      To: FirewallOverride = 0

Step 4

Diese Dateien suchen und löschen

[ learnMore ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.  %Windows%\F5Ws94kb.txt
%Windows%\PsfjH4KN.txt
%Windows%\VZT6nsdX.txt
%Windows%\zhsw8lZB.txt
DATA_GENERIC_FILENAME_1
  • Wählen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und drücken Sie die Eingabetaste.
  • Markieren Sie die gefundene Datei, und drücken Sie UMSCHALT+ENTF, um sie endgültig zu löschen.
  • Wiederholen Sie die Schritte 2 bis 4 für die übrigen Dateien:
       %Windows%\F5Ws94kb.txt
      %Windows%\PsfjH4KN.txt
      %Windows%\VZT6nsdX.txt
      %Windows%\zhsw8lZB.txt
  • Step 5

    Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TROJ_CARBERP.YWQ entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


    Nehmen Sie an unserer Umfrage teil