PUA.Win32.Installcore.USMANHOBXF

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Ordner hinzu:

• %User Temp%\ish{random numbers}
• %User Temp%\ISH{random numbers}\css
• %User Temp%\ISH{random numbers}\css\sdk-ui
• %User Temp%\ISH{random numbers}\css\sdk-ui\images
• %User Temp%\ISH{random numbers}\images
• %User Temp%\ISH{random numbers}\locale

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Dateien ein:

• %User Temp%\{random characters}.log -> deleted afterwards
• %User Temp%\ish{random numbers}\css\ie6_main.css
• %User Temp%\ish{random numbers}\css\main.css
• %User Temp%\ish{random numbers}\css\sdk-ui\browse.css
• %User Temp%\ish{random numbers}\css\sdk-ui\button.css
• %User Temp%\ish{random numbers}\css\sdk-ui\checkbox.css
• %User Temp%\ish{random numbers}\css\sdk-ui\images\button-bg.png
• %User Temp%\ish{random numbers}\css\sdk-ui\images\progress-bg-corner.png
• %User Temp%\ish{random numbers}\css\sdk-ui\images\progress-bg.png
• %User Temp%\ish{random numbers}\css\sdk-ui\images\progress-bg2.png
• %User Temp%\ish{random numbers}\css\sdk-ui\progress-bar.css
• %User Temp%\ish{random numbers}\csshover3.htc
• %User Temp%\ish{random numbers}\form.bmp.Mask
• %User Temp%\ish{random numbers}\images\BG.jpg
• %User Temp%\ish{random numbers}\images\close.png
• %User Temp%\ish{random numbers}\images\close_hover.png
• %User Temp%\ish{random numbers}\images\Color_Button.png
• %User Temp%\ish{random numbers}\images\Color_Button_Hover.png
• %User Temp%\ish{random numbers}\images\default_tb.png
• %User Temp%\ish{random numbers}\images\default_wi.png
• %User Temp%\ish{random numbers}\images\Grey_Button.png
• %User Temp%\ish{random numbers}\images\Grey_Button_Hover.png
• %User Temp%\ish{random numbers}\images\icon_generic.png
• %User Temp%\ish{random numbers}\images\loader.gif
• %User Temp%\ish{random numbers}\images\Pause_Button.png
• %User Temp%\ish{random numbers}\images\progress.png
• %User Temp%\ish{random numbers}\images\ProgressBar.png
• %User Temp%\ish{random numbers}\images\Quick_Specs.png
• %User Temp%\ish{random numbers}\images\Resume_Button.png
• %User Temp%\ish{random numbers}\images\sponsored.png
• %User Temp%\ish{random numbers}\locale\AR.locale
• %User Temp%\ish{random numbers}\locale\CS.locale
• %User Temp%\ish{random numbers}\locale\DA.locale
• %User Temp%\ish{random numbers}\locale\DE.locale
• %User Temp%\ish{random numbers}\locale\EL.locale
• %User Temp%\ish{random numbers}\locale\EN.locale
• %User Temp%\ish{random numbers}\locale\ES.locale
• %User Temp%\ish{random numbers}\locale\FR.locale
• %User Temp%\ish{random numbers}\locale\ID.locale
• %User Temp%\ish{random numbers}\locale\IT.locale
• %User Temp%\ish{random numbers}\locale\JA.locale
• %User Temp%\ish{random numbers}\locale\KO.locale
• %User Temp%\ish{random numbers}\locale\NL.locale
• %User Temp%\ish{random numbers}\locale\NO.locale
• %User Temp%\ish{random numbers}\locale\PL.locale
• %User Temp%\ish{random numbers}\locale\PT.locale
• %User Temp%\ish{random numbers}\locale\RU.locale
• %User Temp%\ish{random numbers}\locale\SV.locale
• %User Temp%\ish{random numbers}\locale\TR.locale
• %User Temp%\ish{random numbers}\locale\ZH.locale
• %User Temp%\ish{random numbers}\bootstrap_{random numbers}.html -> deleted afterwards
• %User Temp%\{random characters}.log -> deleted afterwards
• %User Temp%\ICReinstall_{malware file name}.exe -> copy of itself
• %Desktop%\Continue Google Earth Installation.lnk -> shortcut to %User Temp%\ICReinstall_{malware file name}.exe
• %User Temp%\{random characters}.log -> deleted afterwards
• %User Temp%\is{random numbers}\{random numbers}_stp.EXE

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\Desktop unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• "{malware file path and name}" /_ShowProgress

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\MostRecentApplication
Name = {malware file name}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\MostRecentApplication
ID = 708992537

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://os.{BLOCKED}iacdn.com/Vittalia/?v={version}&c={random number}
• http://media.{BLOCKED}tk.com/
• http://pf.{BLOCKED}t.com/s/2/7/27632-673366-google-earth.exe
• http://os2.{BLOCKED}iacdn.com/Vittalia/?v={version}&c={random number}
• http://rp.{BLOCKED}iacdn.com/?pcrc={random number}

Zeigt die folgenden Bilder an: