Trojan.Win32.ZENPAK.GFCY

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Se ejecuta y, a continuación, se elimina.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

• %Application Data%\Laqika\seimhu.exe
• %User Temp%\Anradipu\certutil.exe
• %User Temp%\Anradipu\freebl3.dll
• %User Temp%\Anradipu\libnspr4.dll
• %User Temp%\Anradipu\libplc4.dll
• %User Temp%\Anradipu\libplds4.dll
• %User Temp%\Anradipu\msvcr100.dll
• %User Temp%\Anradipu\nspr4.dll
• %User Temp%\Anradipu\nss3.dll
• %User Temp%\Anradipu\nssdbm3.dll
• %User Temp%\Anradipu\nssutil3.dll
• %User Temp%\Anradipu\smime3.dll
• %User Temp%\Anradipu\softokn3.dll
• %User Temp%\Anradipu\sqlite3.dll
• %User Temp%\fiygurra.crt
• %User Temp%\hoox.tmp
• %User Temp%\uvylkuh.tmp
• %User Temp%\zouvpo.tmp
• %Application Data%\Apip\ubmaabu.ep
• %Application Data%\Iwerfu\ysappy.yxog
• %Application Data%\Ropa\zoatirko.ceva
• %Application Data%\Uffexo\bazy.fa
• %Application Data%\Wiudo\ezinube.vii
• %Application Data%\Wypoez\usond.eguf
• %Application Data%\Yvagi\myqiunxe.keyml
• %Application Data%\Zeyp\omugy.piwu

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Agrega los procesos siguientes:

• cmd.exe /c ipconfig /all
• ipconfig /all
• cmd.exe /c net config workstation
• net config workstation;
• %System%\net1 config workstation
• cmd.exe /c net view /all
• net view /all
• cmd.exe /c net view /all /domain
• net view /all /domain
• cmd.exe /c nltest /domain_trusts
• nltest /domain_trusts
• cmd.exe /c nltest /domain_trusts /all_trusts
• nltest /domain_trusts /all_trusts
• "%User Temp%\Anradipu\certutil.exe" -A -n "ovfoxud" -t "C,C,C" -i "%User Temp%\fiygurra.crt" -d "%Application Data%\Mozilla\Firefox\Profiles\dxxbjsgn.default"

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Se ejecuta y, a continuación, se elimina.

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
toxm
ugba = {hex values}

HKEY_CURRENT_USER\Software\Microsoft\
Agpiafe
miypafa = {hex values}

HKEY_CURRENT_USER\Software\Microsoft\
Agpiafe
palocem = {hex values}

Otros detalles

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Agpiafe

HKEY_CURRENT_USER\Software\Microsoft\
toxm

It connects to the following possibly malicious URL:

• http://{BLOCKED}234135.xyz/LKhwojehDgwegSDG/gateJKjdsh.php
• http://{BLOCKED}234135.org/LKhwojehDgwegSDG/gateJKjdsh.php