Trojan.PS1.POWLOAD.TIAOENT

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %User Temp%\{8 random characters}.{3 random characters}.ps1 -> deleted afterwards
• %User Temp%\{8 random characters}.{3 random characters}.psm1 -> deleted afterwards

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• %System%\cmd.exe {Encrypted commands} do set Bcd=!Bcd!!rl:~%X,1!&&if %X lss 4 echo !Bcd:~5! |FOR /F "delims=dZ\s tokens=10" %n IN ('ftype^^^|find "sole."')DO %n -"
• %System%\cmd.exe {Encrypted commands} do set Bcd=!Bcd!!rl:~%X,1!&&if %X lss 4 echo !Bcd:~5! |FOR /F "delims=dZ\s tokens=10" %n IN ('ftype^^^|find "sole."')DO %n -"
• %System%\cmd.exe {Encrypted commands used to connect and download executable file}
• %System%\cmd.exe /S /D /c" FOR /F "delims=dZ\s tokens=10" %n IN ('ftype^|find "sole."') DO %n -"
• %System%\cmd.exe /c ftype|find"sole."
• %System%\cmd.exe /S /D /C" ftype"
• %System%\find.exe find "sole."
• %System%\WindowsPowerShell\v1.\powershell.exe PowerShell -

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Download-Routine

Lädt die Datei von folgendem URL herunter und benennt sie um, wenn sie auf dem betroffenen System gespeichert wird:

• http://{BLOCKED}d.com/p
• http://{BLOCKED}ngsuk.com/Kv
• http://{BLOCKED}z.net/WSS
• http://{BLOCKED}h.com/kNLSCHYq
• http://{BLOCKED}oarquitetura.com.br/pqFhOq

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %User Temp%\618.exe -> deleted afterwards

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Andere Details

Es macht Folgendes:

• The document contains the following message details luring users to enable macro content: