Analyse von: Francis Xavier Antazo   
 

Worm:Win32/Hilgild.A (Microsoft); W32/Worm-FLO!730C38C91993 (McAfee);

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Worm

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Infektionsweg: Verbreitet sich über Wechseldatenträger, Verbreitet sich über Netzwerkfreigaben, Aus dem Internet heruntergeladen

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Technische Details

Dateigröße: 1376256 bytes
Dateityp: EXE
Speicherresiden: Ja
Erste Muster erhalten am: 22 September 2014
Schadteil: Steals information

Übertragungsdetails

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %All Users Profile%\Application Data\wmimgmt.exe

Schleust die folgenden Dateien ein:

  • %All Users Profile%\DRM\Media\line.dat
  • %All Users Profile%\DRM\Media\D753DD1C.db
  • %Temp%\temp.vih
  • %User Profile%\Local Settings\Temporary Internet Files\s.log
  • %User Profile%\Local Settings\Temporary Internet Files\t.log
  • %User Profile%\Local Settings\Temporary Internet Files\INFO.TXT {contains all gathered info}
  • %User Profile%\Local Settings\Temporary Internet Files\drivers.p {contains list of available drives}
  • %User Profile%\Local Settings\Temporary Internet Files\wrkgrp.tmp {contains list of connected machine}

(Hinweis: %Temp% ist der Windows Ordner für temporäre Dateien, normalerweise C:\Windows\Temp oder C:\WINNT\Temp.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein und führt sie aus:

  • %User Profile%\Local Settings\Temporary Internet Files\avp.exe
  • %User Profile%\Local Settings\Temporary Internet Files\avpi.exe
  • %User Profile%\Local Settings\Temporary Internet Files\oi.bat {for bypass firewall}
  • %User Profile%\Local Settings\Temporary Internet Files\ghi.bat {to get info about network}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

  • net.exe

Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
wmi32 = "%All Users Profile%\Application Data\wmimgmt.exe"

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(Note: The default value data of the said registry entry is "1".)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "1"

(Note: The default value data of the said registry entry is "0".)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Lsa
forceguest = "0"

(Note: The default value data of the said registry entry is "1".)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Lsa
limitblankpassworduse = "0"

(Note: The default value data of the said registry entry is "1".)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\wscsvc
Start = "4"

(Note: The default value data of the said registry entry is "2".)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(Note: The default value data of the said registry entry is "{User Preference}".)

Verbreitung

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

; for 16-bit app support
[extensions]
[fonts]
[mci extensions]
[Mail]
[files]
mpeg=MPEGVideo
snd=atl.dll
wm=mcd32.dll
wma=MP4
wmp=MP3MAPI=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
CMCDLLNAME32=mapi32.dll
CMC=1
[MCI Extensions]
aif=loghours.dll
aiff=ole2.dll
asf=d3dramp.dll
aifc=psnppagn.dll
asx=MPEGVideo2
mpe=usrdtea.dll
mpg=MPEGVideo
mpv2=idq.dll
wmv=MPEG
wmx=MPEGVideo32
251846kfi56s
;cc30qiLas JdZ3adCjPadf823423423
[Kasasf0q]iLasdfKD28Ls33wDmrq6Jl1EdAf8
;K0qi asfLasmet Ca19lhs ipconfidfjKD28 mpeg Ls33
;8sdaA89K3J0DSKJLG8P4Ld0laH saG
[shellas]dBop1caomasdnhsdf=fdsjsdf.exenghasadnetstad.
as=asdfash0ffsad asd1safsdf9safdasf
;ff0qiLasfJdKPEGVi2412344
oaeFK1Kajkw6DdD3L2f3a31zazi8a135Lwra
Ls33wDm2rqJl31EdAf8soae FK1KajkwDdDLKAl6sdcO7K
asdfs3adfLafdsfadsdm FKaj3kw6Al6sdcO7K
;K0qi65aa3sJZ3adCsa1sdfjKD32asddfasdf
;K0qiLa1Kajkw845rthgK2f33a21zazi8a35Lwra
[ autorun
K0qi3a3dCa19lsdfjKD2asfd323asdfsdfa
PRINT=PRINT.EXE ASDd938daf897asdj
;[asfd3]2KdafjKD2
Play= Copy pictures to a foler on my computer
shEllEXEcuTe = RECyCLER\wmimgmt.com
;8sdaA38G8P343LklJ8ASD FL3333sd0laHsa3G12fgsdsaKd
sheLL\oPeN\coMManD =RECYCLER\wmimgmt.com
;343P5gd2fKgCOMNANDASDF=REC R5gf56sd315eK592AdsSD
;89234SAKDJWKsatyh3adaflk7yas
;343P5F 25F5gf56sd315eK56fs43d4asd56KdaDfs1
shELl\ExpLore\ComMand= RECYCLER\wmimgmt.com
s=asfdsa5dfafdAf8soaeFExpLoreqiLasJ8Z3adC
;89234AKfdk28ASDFsaaty7ysK6DRg if5S3jsHks
Action=Open folder to view files
;8k3kKsafG ASDFdlsflK3a23F4jksfa5F3J90s
;f0PEG3ideoqiLasJd9Z3adCa319lhsdfjKD3223adfasfd
Spell=Take no action then print the picture

[mci]
woafont=app936.FON
EGA40WOA.FON=EGA40WOA.FON
[386enh]
EGA51WOA.FON=KBDDSP.FON
[drivers]
wave=mmdrv.dll
[driver32]
timer=timer.drv

Datendiebstahl

Folgende Daten werden gesammelt:

  • processor information
  • path list
  • os information
  • systemroot directory
  • user accounts
  • list of running processes
  • product id
  • network card list
  • list of values in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
  • list of values in HKEY_CURRENT_USER\Software\Microsoft\Office\{variable1}\Common\UserInfo
  • ip configuration
  • list of open ports
  • list of services
  • list of content of files and folders in all the drives
  • disk space info
  • list connected machines

  Lösungen

Mindestversion der Scan Engine: 9.800
Erste VSAPI Pattern-Datei: 12.238.05
Erste VSAPI Pattern veröffentlicht am: 28 Dezember 2015
VSAPI OPR Pattern-Version: 12.239.00
VSAPI OPR Pattern veröffentlicht am: 29 Dezember 2015

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 4

Diese Datei suchen und löschen

[ learnMore ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.  
  • %User Profile%\Local Settings\Temporary Internet Files\avp.exe
  • %User Profile%\Local Settings\Temporary Internet Files\avpi.exe
  • %User Profile%\Local Settings\Temporary Internet Files\oi.bat
  • %User Profile%\Local Settings\Temporary Internet Files\ghi.bat
  • %User Profile%\Local Settings\Temporary Internet Files\s.log
  • %User Profile%\Local Settings\Temporary Internet Files\t.log
  • %User Profile%\Local Settings\Temporary Internet Files\INFO.TXT
  • %User Profile%\Local Settings\Temporary Internet Files\drivers.p
  • %User Profile%\Local Settings\Temporary Internet Files\wrkgrp.tmp
  • {removable drive}:\RECYCLER\desktop.ini
  • {removable drive}:\~thumbs.tmp

Step 5

AUTORUN.INF Dateien suchen und löschen, die von WORM_HILGILD.AUL erstellt wurden und diese Zeichenfolgen enthalten

[ learnMore ]
DATA_GENERIC
  • Falls ja, löschen Sie die Datei.
  • Wiederholen Sie die Schritte 3 bis 6 für die übrigen AUTORUN.INF Dateien in anderen Wechsellaufwerken.
  • Schließen Sie die Suchergebnisse.

    • Step 7

    Diesen Registrierungswert löschen

    [ learnMore ]

    Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

    • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
      • wmi32 = "%All Users Profile%\Application Data\wmimgmt.exe"

    Step 8

    Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als WORM_HILGILD.AUL entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

    Step 9

    Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als WORM_HILGILD.AUL entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


    Nehmen Sie an unserer Umfrage teil