Modifié par: : Jay Bradley Nebre

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 reportedInfection:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild:
    Oui

  Overview

Voie d'infection: Téléchargé à partir d'Internet, Lâché par un autre malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Détails techniques

File size: 19,645,440 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 31 mars 2020
Charge malveillante: Connects to URLs/IPs, Steals information, Collects system information

Précisions sur l'apparition de l'infection

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Ajoute les processus suivants :

  • %User Temp%\CL_Debug_Log.txt e -p"JDQJndnqwdnqw2139dn21n3b312idDQDB" "%User Temp%\CR_Debug_Log.txt" -o"%User Temp%\"
  • C:\Windows\system32\cmd.exe /c schtasks.exe /Create /XML "%User Temp%\SystemCheck.xml" /TN "System\SystemCheck"

(Remarque : %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000(32-bit), XP et Server 2003(64-bit) et de C:\Users\{nom de l'utilisateur}\AppData\Local\Temp sous Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) et 10(64-bit).)

Routine d'introduction

Introduit les fichiers suivants :

  • %User Temp%\asacpiex.dll -> archive file containing Coinminer.Win64.MOOZ.THCCABO
  • %User Temp%\CL_Debug_Log.txt -> 7-zip Archiver
  • %User Temp%\ZoomInstaller.exe -> normal Zoom Installer
  • %User Temp%\CR_Debug_Log.txt -> archive file containing Coinminer.Win64.MOOZ.THCCABO
  • %Application Data%\Microsoft\Windows\Helper.exe -> detected as Coinminer.Win64.MOOZ.THCCABO
  • %User Temp%\SystemCheck.xml

(Remarque : %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000(32-bit), XP et Server 2003(64-bit) et de C:\Users\{nom de l'utilisateur}\AppData\Local\Temp sous Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) et 10(64-bit).. %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT, de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000(32-bit), XP et Server 2003(32-bit) et de C:\Users\{nom de l'utilisateur}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) et 10(64-bit).)

Vol d'informations

Collecte les données suivantes :

  • System Information
  • OS Version
  • Video Controller
  • Processors
  • AV product
  • Smartscreen
  • Windows Defender

Autres précisions

Il fait ce qui suit:

  • It sends the gathered information to the following URL:
    • https://{BLOCKED}o.co/1IRnc

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 15.776.04
First VSAPI Pattern Release Date: 31 mars 2020
VSAPI OPR Pattern Version: 15.777.00
VSAPI OPR Pattern Release Date: 01 avril 2020

Step 1

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 2

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 3

Pour supprimer le fichier de tâche ajouté :

  1. Cliquez sur Démarrer>Programmes>Accessoires>Outils système>Tâches planifiées
  2. Double-cliquez sur un fichier de tâche.
  3. Vérifiez si le chemin d'accès au programme malveillant apparaît dans le champ « Exécuter : » .
  4. Si c'est le cas, supprimez le fichier de tâche.
  5. Répétez les étapes 2 à 4 pour les fichiers de tâches restants :

Step 4

Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant Trojan.Win32.MOOZ.THCCABO Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


Participez à notre enquête!