PUA.Win32.GMER.A

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust folgende Komponentendateien ein:

• %User Temp%\{8 Random Characters}.sys

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{8 Random Characters}

Andere Systemänderungen

Löscht die folgenden Dateien:

• %User Temp%\{8 Random Characters}.sys

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{8 Random Characters}
Type = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{8 Random Characters}
ErrorControl = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{8 Random Characters}
Start = 3

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{8 Random Characters}
ImagePath = \??\%User Temp%\{8 Random Characters}.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{8 Random Characters}
Group = Base

Datendiebstahl

Folgende Daten werden gesammelt:

• List of Drives
• Computer Name
• Running Processes
• Process Modules
• Running Services
• Computer Files
• Disk Sectors
• System Registries
• Clipboard Data

Andere Details

Es macht Folgendes:

• It loads the dropped file as a driver
  • %User Temp%\{8 Random Characters}.sys
• It displays the following image
  
• It displays and can delete, copy, and kill files and folders
• It displays and can create and kill system processes
• It displays process modules
• It can edit, disable and delete services
• It displays and can edit system registry data
• It can export registry data and save it in a file
• It can execute shell commands
• It can restore SSDT tables
• It can restore the Master Boot Record (MBR)
• The tool scans for the following:
  • Hidden Processes
  • Hidden Threads
  • Hidden Modules
  • Hidden Services
  • Hidden Files
  • Hidden Disk Sectors (MBR)
  • Hidden Alternate Data Streams
  • Hidden Registry Keys
  • Drivers Hooking SSDT
  • Drivers Hooking IDT
  • Drivers Hooking IRP calls
  • Inline Hooks
• It displays process libraries and threads
• It can restart the machine
• This tool has been abused by other malware to terminate processes relating to security-related software via its -killfile option