Trojan.Win32.LOADSELL.A

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Prozesse hinzu:

• To delete itself:
  • "%System%\cmd.exe" /c taskkill /im "{Malware Filename}.exe" /f & erase "{Malware Filepath}\{Malware Filename}.exe" & exit
• If download is successful:
  • "%System%\cmd.exe" /c start /I "" "{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\{11 Random Numbers}.exe"
  • "%System%\cmd.exe" /c start /I "" "{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\{11 Random Numbers}.exe" /{mix, eu or us depending on the country}

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Erstellt die folgenden Ordner:

• %User Temp%\{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\ → Hidden

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %User Temp%\{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\{11 Random Numbers}.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Datendiebstahl

Folgende Daten werden gesammelt:

• Username
• IP Address
• Country
• Keyboard Layout/Language

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• {BLOCKED}n.biz/decision.php?pub={String}
• {BLOCKED}partners.in/stats/remember.php?pub={String}&user={username}
• {BLOCKED}partners.in/stats/statistics.php?trackid={track id}&postback={postback value}
• {BLOCKED}partners.in/stats/itscis.php?pub={String}
• Where depending on the country the infected machine is located in, {String} can be the following:
  • ustwo
  • euthree
  • mixsix
  • eutwo
  • usthree
  • pmix
  • peu
  • pus
  • umix
  • ueu
  • uus
  • cashmix
  • casheu
  • cashus
  • willmix
  • willeu
  • willus
  • usone
  • mixone
  • euone
  • usfour
  • eufour
  • pux
  • eux
  • mixthree
  • eufive
  • usfive
  • cafive
  • mixfive
  • mixseven
  • euinte
  • usinte
  • cainte
  • mixinte

Es macht Folgendes:

• It will terminate and delete itself if it finds any of the following:
  • The following folders:
    • %User Desktop%\Garbage Cleaner
  • The following registry keys:
    • HKEY_CURRENT_USER\Software\GCleaner
  • The system's locale or language:
    • Russian
    • Ukrainian
    • Kazakh
• It connects to the following url(s) to log the Connecting Machine's IP Address:
  • http://{BLOCKED}ger.org/{characters} → accessible
    • where depending on the {String} used, {Characters} can be the following:
      • /1SbGr7
      • /1S3Jr7
      • /1SVGr7
      • /1SDGr7
      • /1SXGr7
      • /1RGrt7
      • /1B6de7
      • /1B8de7
      • /1B9de7
      • /1exB47
      • /1ecB47
      • /1evB47
      • /1KWC77
      • /1KEC77
      • /1KRC77
      • /11juE
      • /11cuE
      • /11QuE
      • /1SMHr7
      • /1SvGr7
      • /1SZGr7
      • /1xA9f7
      • /1xF9f7
      • /1BaHp7
      • /1Uvu47
      • /1SEGr7
      • /17xdv7
      • /17vdv7
      • /17bdv7
      • /17mdv7
      • /1SGGr7
      • /1stmu7
      • /1ssmu7
      • /1sdmu7
      • /1u3ha7