Analysis by: Paul Steven Nadera
 

Trojan.Win32.Zenpak.auzi (Kaspersky); a variant of Win32/Kryptik.HFUN trojan (NOD32)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Wird ausgeführt und löscht sich dann selbst.

  Détails techniques

File size: 507,456 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 01 septembre 2020

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

  • %Application Data%\Laqika\seimhu.exe
  • %User Temp%\Anradipu\certutil.exe
  • %User Temp%\Anradipu\freebl3.dll
  • %User Temp%\Anradipu\libnspr4.dll
  • %User Temp%\Anradipu\libplc4.dll
  • %User Temp%\Anradipu\libplds4.dll
  • %User Temp%\Anradipu\msvcr100.dll
  • %User Temp%\Anradipu\nspr4.dll
  • %User Temp%\Anradipu\nss3.dll
  • %User Temp%\Anradipu\nssdbm3.dll
  • %User Temp%\Anradipu\nssutil3.dll
  • %User Temp%\Anradipu\smime3.dll
  • %User Temp%\Anradipu\softokn3.dll
  • %User Temp%\Anradipu\sqlite3.dll
  • %User Temp%\fiygurra.crt
  • %User Temp%\hoox.tmp
  • %User Temp%\uvylkuh.tmp
  • %User Temp%\zouvpo.tmp
  • %Application Data%\Apip\ubmaabu.ep
  • %Application Data%\Iwerfu\ysappy.yxog
  • %Application Data%\Ropa\zoatirko.ceva
  • %Application Data%\Uffexo\bazy.fa
  • %Application Data%\Wiudo\ezinube.vii
  • %Application Data%\Wypoez\usond.eguf
  • %Application Data%\Yvagi\myqiunxe.keyml
  • %Application Data%\Zeyp\omugy.piwu

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

  • cmd.exe /c ipconfig /all
  • ipconfig /all
  • cmd.exe /c net config workstation
  • net config workstation;
  • %System%\net1 config workstation
  • cmd.exe /c net view /all
  • net view /all
  • cmd.exe /c net view /all /domain
  • net view /all /domain
  • cmd.exe /c nltest /domain_trusts
  • nltest /domain_trusts
  • cmd.exe /c nltest /domain_trusts /all_trusts
  • nltest /domain_trusts /all_trusts
  • "%User Temp%\Anradipu\certutil.exe" -A -n "ovfoxud" -t "C,C,C" -i "%User Temp%\fiygurra.crt" -d "%Application Data%\Mozilla\Firefox\Profiles\dxxbjsgn.default"

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Wird ausgeführt und löscht sich dann selbst.

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
toxm
ugba = {hex values}

HKEY_CURRENT_USER\Software\Microsoft\
Agpiafe
miypafa = {hex values}

HKEY_CURRENT_USER\Software\Microsoft\
Agpiafe
palocem = {hex values}

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Agpiafe

HKEY_CURRENT_USER\Software\Microsoft\
toxm

It connects to the following possibly malicious URL:

  • http://{BLOCKED}234135.xyz/LKhwojehDgwegSDG/gateJKjdsh.php
  • http://{BLOCKED}234135.org/LKhwojehDgwegSDG/gateJKjdsh.php