Worm.Win32.DORKBOT.TIGAABC

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Wird ausgeführt und löscht sich dann selbst. Die Injizierung erfolgt in alle laufenden Prozesse, um im Speicher resident zu verbleiben.

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden. Löscht Registrierungseinträge, so dass einige Anwendungen und Programme nicht ordnungsgemäß ausgeführt werden.

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.

Diese Malware kann keine Daten stehlen.

Verhindert, dass Benutzer Antiviren-bezogene Websites aufrufen können, die bestimmte Zeichenfolgen enthalten.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\c731200
• %Application Data%\Update\Explorer.exe
• %Application Data%\Microsoft\Windows\{Random characters}\{Random characters}.exe
• {Removable drive}:\c731200
• {Removable drive}:\{Random letters}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Dateien ein:

• {Removable drive}:\{Names of files in removable drive}.lnk
• %User Temp%\c731200
• %Application Data%\Microsoft\Windows\{​​​​Random characters}​​​​.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• "{Malware path and name}"
• "%System%\svchost.exe"
• "%System%\calc.exe"
• "%System%\mspaint.exe"

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Wird ausgeführt und löscht sich dann selbst.

Die Injizierung erfolgt in alle laufenden Prozesse, um im Speicher resident zu verbleiben.

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• SSLOADasdasc000900
• Windows_Shared_Mutex_231_c000900
• SVCHOST_MUTEX_OBJECT_RELEASED_c000900
• c731200
• -65b46629Mutex
• FvLQ49I

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Update = {Malware file path and name} (if parameter has -shell)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Explorer Manager = %Application Data%\Update\Explorer.exe

Andere Systemänderungen

Löscht die folgenden Dateien:

• {Values in checked registry keys}\{Data in values in checked registry keys}:Zone.Identifier
• %Application Data%\Microsoft\Windows\{Random characters}\{Random characters}.exe:Zone.Identifier
• System, hidden, or read-only .exe, .pif, .scr, .cmd,.com files in removable drives
• .lnk files in removable drives
• Files in %Common Startup%
• Files in %User Startup%

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\WindowsId Manager Reader
CFlagc000900 = 1 (if parameter has -shell)

HKEY_CURRENT_USER\Software\WindowsId Manager Reader
WindowsId = {Random characters}

HKEY_CURRENT_USER\Software\WindowsId Manager Reader
itergtdw11qyucgHGGDsggd = 1 (if parameter has -shell)

Löscht die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableCurrentUserRun =

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableLocalMachineRun =

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableLocalMachineRunOnce =

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableCurrentUserRunOnce =

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableLocalMachineRun =

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableCurrentUserRun =

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableLocalMachineRunOnce =

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisableCurrentUserRunOnce =

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Download and execute files
• Neutralize other running threats
• Block or redirect domains
• Execute attacks (slow loris, SYN flood, UDP flood)
• Steal credentials
• Spread via online messengers and USB drives
• Visit sites
• Update itself
• Reboot or shutdown system

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• notepad.exe
• msiexec.exe
• mspaint.exe

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %User Temp%\{Random characters}.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Datendiebstahl

Diese Malware kann keine Daten stehlen.

Andere Details

Es macht Folgendes:

• It may hook to native APIs to block programs from removing or moving itself or from creating files.
• It renames the following folders:
  • %System Root%\Recycler (renamed to %System Root%\{Random characters})
  • %System Root%\Program Files\Common Files\CreativeAudio (renamed to %System Root%\Program Files\Common Files\{Random characters})
  • %System Root%\programdata\CreativeAudio (renamed to %System Root%\programdata\{Random characters})
• It renames and terminates process related to the following files:
  • {Files in %Application Data%}.exe (renamed to {Files in %Application Data%}.exe.gonewiththewings)
  • {Files in %Application Data%\Identities}.exe (renamed to {Files in %Application Data%\Identities}.exe.gonewiththewings)
  • {Files in %Application Data%\Microsoft}.exe (renamed to {Files in %Application Data%\Microsoft}.exe.gonewiththewings)
  • {Files in %ProgramData%}.exe (renamed to {Files in %ProgramData%}.exe.gonewiththewings)
  • {Files in %System Root%\Program Files\Common Files\CreativeAudio}.exe (renamed to {Files in %System Root%\Program Files\Common Files\CreativeAudio}.exe.gonewiththewings)
  • {Files in %System Root%\programdata\CreativeAudio}.exe (renamed to {Files in %System Root%\programdata\CreativeAudio}.exe.gonewiththewings)
  • {Files in %User Temp%}.exe (renamed to {Files in %User Temp%}.exe.gonewiththewings)
  • {Files in %User Temp%\adobe}.exe (renamed to {Files in %User Temp%\adobe}.exe.gonewiththewings)
  • {Files in %User Profile%}.exe (renamed to {Files in %User Profile%}.exe.gonewiththewings)
  • {Files in %Common Startup%}.exe (renamed to {Files in %Common Startup%}.exe.gonewiththewings)
• It checks the following registry keys in deleting files:
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_USERS\{Subkey}\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_USERS\{Subkey}\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
• It deletes and recreates the following registry entries:
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Common Startup% ist der gemeinsame Autostart-Ordner des Systems, normalerweise C:\Windows\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\All Users\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart unter Windows 2000, XP und Server 2003.)

Verhindert, dass Benutzer Antiviren-bezogene Websites aufrufen können, die folgende Zeichenfolgen enthalten:

• webroot
• fortinet
• virusbuster.nprotect
• gdatasoftware
• virus
• precisesecurity
• lavasoft
• heck.t
• emsisoft
• onlinemalwarescanner
• onecare.live
• f-secure
• bullguard
• clamav
• pandasecurity
• sophos
• malwarebytes
• sunbeltsoftware
• norton
• norman
• mcafee
• symante
• comodo
• avast
• avira
• avg
• bitdefender
• eset
• kaspersky
• trendmicro
• iseclab
• virscan
• garyshood
• viruschief
• jotti
• threatexpert
• novirusthanks
• virustotal