Analysé par: Joshua Paul Ignacio   

 

Trojan.CobaltStrike.BK (BITDEFENDER), Win32:CobaltStrike-A [Trj] (AVAST)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Backdoor

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild:
    Oui

  Overview

Voie d'infection: Téléchargé à partir d'Internet, Lâché par un autre malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Exécute des commandes envoyées par un utilisateur distant malintentionné, compromettant dangereusement la sécurité du système affecté.

  Détails techniques

File size: 208,896 bytes
File type: DLL
Memory resident: Oui
Date de réception des premiers échantillons: 03 mars 2021
Charge malveillante: Connects to URLs/IPs, Steals information

Précisions sur l'apparition de l'infection

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Routine de portes dérobées

Exécute les commandes suivantes envoyées par un utilisateur distant malintentionné :

  • Manage Files (Create, Delete, Modify, Upload, Download, etc.)
  • Manage Directory (Create, Remove, etc.)
  • Manage Processes (Create, Open, Terminate, etc.)
  • Escalate Privileges
  • Impersonate Tokens
  • Inject Code to Processes
  • Execute Arbitrary Commands
  • Connect to a named pipe
  • List Drive Information
  • Enumerate Registries

Vol d'informations

Collecte les données suivantes :

  • User Name
  • Computer Name
  • Host Name
  • Local IP Address
  • OS Version and Architecture
  • Current Process ID

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 16.572.06
First VSAPI Pattern Release Date: 03 mars 2021
VSAPI OPR Pattern Version: 16.573.00
VSAPI OPR Pattern Release Date: 04 mars 2021

Step 2

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 3

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 4

Redémarrage en mode sans échec

[ suite ]

Step 5

Identifier et mettre fin à des fichiers détectés comme étant Backdoor.Win32.COBEACON.THCOCBA

[ suite ]
  1. Sous Windows 98 ou ME, il se peut que le gestionnaire de tâches Windows n"affiche pas tous les processus en cours. Dans ce cas, veuillez utiliser le gestionnaire de tâches d"une application tierce, si possible Process Explorer, pour mettre fin au processus du programme malveillant/grayware/programme espion. Vous pouvez télécharger l"outil en question ici.
  2. Si le fichier détecté est affiché dans le gestionnaire de tâches Windows ou dans Process Explorer, mais que vous ne pouvez pas le supprimer, redémarrez l"ordinateur en mode sans échec. Consultez ce lien pour obtenir le détail des étapes à suivre.
  3. Si le fichier détecté n"est pas affiché dans le gestionnaire de tâches Windows, ni dans Process Explorer, passez aux étapes suivantes.

Step 6

Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant Backdoor.Win32.COBEACON.THCOCBA Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


Participez à notre enquête!