Analysé par: Karen Ivy Titiwa   
 

Worm:Win32/Hilgild.A (MICROSOFT); Trojan.Win32.Hesv.avgr (KASPERSKY)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Voie d'infection: Verbreitet sich über Netzwerkfreigaben, Verbreitet sich über Wechseldatenträger

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen. It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Détails techniques

File size: 258,048 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 03 septembre 2019
Charge malveillante: Steals information

Übertragungsdetails

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %All Users Profile%\Application Data\wmimgmt.exe

Schleust die folgenden Dateien ein:

  • %Temporary Internet Files%\s.log
  • %Temporary Internet Files%\t.log
  • %Public%\Documents\Media\line.dat
  • %Public%\Documents\Media\{random}.db
  • %Temporary Internet Files%\sharedir.tmp
  • %Temporary Internet Files%\hostname.tmp → contains host name
  • %Temporary Internet Files%\workgrp.tmp → contains list of connected machine
  • %Temporary Internet Files%\drivers.p → contains list of drive letters
  • %Temporary Internet Files%\INFO.txt → contains list of gathered information
  • %User Temp%\temp.vih → contains list of key, subkeys and values of specified registry keys
  • {Removable drive}:\RECYCLER\desktop.ini
  • {Removable drive}:\~thumbs.tmp
  • {Removable drive}:\RECYCLER\wmimgmt.com

Schleust die folgenden Dateien ein und führt sie aus:

  • %Temporary Internet Files%\ghi.bat → contains commands for gathering information
  • %Temporary Internet Files%\avpi.exe

Verwendet das Standardsymbol für einen Windows-Ordner, um Benutzer zum Öffnen der Datei zu verleiten. Durch Doppelklicken auf die Datei wird die Malware ausgeführt.

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

  • ProgramLQBMute
  • DB_F_PROTECT

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
wmi32 = %All Users Profile%\Application Data\wmimgmt.exe

Andere Systemänderungen

Löscht die folgenden Dateien:

  • %User Temp%\temp.vih
  • %Temporary Internet Files%\s.log
  • %Temporary Internet Files%\t.log
  • %Temporary Internet Files%\sharedir.tmp
  • %Temporary Internet Files%\hostname.tmp
  • %Temporary Internet Files%\workgrp.tmp
  • %Temporary Internet Files%\drivers.p
  • %Temporary Internet Files%\ghi.bat
  • %Temporary Internet Files%\INFO.txt

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Ändert die folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer
GlobalAssocChangedCounter = {data}

Verbreitung

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

; for 16-bit app support
[extensions]
[fonts]
[mci extensions]
[Mail]
[files]
mpeg=MPEGVideo
snd=atl.dll
wm=mcd32.dll
wma=MP4
wmp=MP3MAPI=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
CMCDLLNAME32=mapi32.dll
CMC=1
[MCI Extensions]
aif=loghours.dll
aiff=ole2.dll
asf=d3dramp.dll
aifc=psnppagn.dll
asx=MPEGVideo2
mpe=usrdtea.dll
mpg=MPEGVideo
mpv2=idq.dll
wmv=MPEG
wmx=MPEGVideo32
251846kfi56s
;cc30qiLas JdZ3adCjPadf823423423
[Kasasf0q]iLasdfKD28Ls33wDmrq6Jl1EdAf8
;K0qi asfLasmet Ca19lhs ipconfidfjKD28 mpeg Ls33
;8sdaA89K3J0DSKJLG8P4Ld0laH saG
[shellas]dBop1caomasdnhsdf=fdsjsdf.exenghasadnetstad.
as=asdfash0ffsad asd1safsdf9safdasf
;ff0qiLasfJdKPEGVi2412344
oaeFK1Kajkw6DdD3L2f3a31zazi8a135Lwra
Ls33wDm2rqJl31EdAf8soae FK1KajkwDdDLKAl6sdcO7K
asdfs3adfLafdsfadsdm FKaj3kw6Al6sdcO7K
;K0qi65aa3sJZ3adCsa1sdfjKD32asddfasdf
;K0qiLa1Kajkw845rthgK2f33a21zazi8a35Lwra
[ autorun
K0qi3a3dCa19lsdfjKD2asfd323asdfsdfa
PRINT=PRINT.EXE ASDd938daf897asdj
;[asfd3]2KdafjKD2
Play= Copy pictures to a foler on my computer
shEllEXEcuTe = RECyCLER\wmimgmt.com
;8sdaA38G8P343LklJ8ASD FL3333sd0laHsa3G12fgsdsaKd
sheLL\oPeN\coMManD =RECYCLER\wmimgmt.com
;343P5gd2fKgCOMNANDASDF=REC R5gf56sd315eK592AdsSD
;89234SAKDJWKsatyh3adaflk7yas
;343P5F 25F5gf56sd315eK56fs43d4asd56KdaDfs1
shELl\ExpLore\ComMand= RECYCLER\wmimgmt.com
s=asfdsa5dfafdAf8soaeFExpLoreqiLasJ8Z3adC
;89234AKfdk28ASDFsaaty7ysK6DRg if5S3jsHks
Action=Open folder to view files
;8k3kKsafG ASDFdlsflK3a23F4jksfa5F3J90s
;f0PEG3ideoqiLasJd9Z3adCa319lhsdfjKD3223adfasfd
Spell=Take no action then print the picture

[mci]
woafont=app936.FON
EGA40WOA.FON=EGA40WOA.FON
[386enh]
EGA51WOA.FON=KBDDSP.FON
[drivers]
wave=mmdrv.dll
[driver32]
timer=timer.drv

Datendiebstahl

Folgende Daten werden gesammelt:

  • list of of the active console code page
  • user account information
  • list of local group administrators
  • list of currently running processes
  • system information
  • list of values in HKEY_CURRENT_USER\Software\Microsoft\Office\{version}\Common\UserInfo
  • list of current TCP/IP network configuration values
  • list of TCP connections
  • list of current ARP entries
  • routing table
  • list of local NetBIOS names
  • list of remote [machine] names and their IP addresses
  • list of services
  • list of network connections
  • list of shared resources
  • list of domains in the network
  • computer name
  • list of files and folders in all drives

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
Browser

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
Browser\Recent File List

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
Browser\Settings

Es macht Folgendes:

  • Searches for the following running processes
    • ravmond.exe
    • ccenter.exe
    • ravtask.exe
    • op_mon.exe
    • 360tray.exe
    • pctstray.exe
    • avp.exe
    • vsserv.exe
    • v3ltray.exe
    • v3svc.exe
    • ccsvchst.exe.
    • mcagent.exe
    • avguard.exe
    • avastsvc.exe
  • Will not proceed to its worm routine if it finds the following process running in the memory
    • avp.exe
  • It searches for folders in all shared folders and removable drives then drops copies of itself as {folder name}.EXE.
  • It sets the attributes of all the found folders in the shared folders and removable drives to Hidden.
  • Must be in this directory to conduct its worm routine
    • %All Users Profile%\Application Data\wmimgmt.exe

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 15.344.02
First VSAPI Pattern Release Date: 04 septembre 2019
VSAPI OPR Pattern Version: 15.345.00
VSAPI OPR Pattern Release Date: 05 septembre 2019

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>

Step 3

Diesen Prozess beenden

[ learnMore ]

  1. Für Windows 98 und ME Benutzer: Der Windows Task-Manager zeigt möglicherweise nicht alle aktiven Prozesse an. Verwenden Sie in diesem Fall einen Prozess-Viewer eines Drittanbieters, vorzugsweise Process Explorer, um die Malware-/Grayware-/Spyware-Datei zu beenden. Dieses Tool können Sie hier.
    2. herunterladen.
  2. Wenn die entdeckte Datei im Windows Task-Manager oder Process Explorer angezeigt wird, aber nicht gelöscht werden kann, starten Sie Ihren Computer im abgesicherten Modus neu. Klicken Sie auf diesen Link, um alle erforderlichen Schritte anzuzeigen.
  3. Wenn die entdeckte Datei nicht im Windows Task-Manager oder im Process Explorer angezeigt wird, fahren Sie mit den nächsten Schritten fort.
  • %All Users Profile%\Application Data\wmimgmt.exe
  • %Temporary Internet Files%\avpi.exe

Step 4

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • wmi32 = %All Users Profile%\Application Data\wmimgmt.exe

Step 5

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_CURRENT_USER\Software
    • Local AppWizard-Generated Applications

Step 6

Diesen geänderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    • GlobalAssocChangedCounter = from: [data] to: {default}

Step 7

Diese Dateien suchen und löschen

[ learnMore ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.
  • %All Users Profile%\Application Data\wmimgmt.exe
  • %Temporary Internet Files%\s.log
  • %Temporary Internet Files%\t.log
  • %Public%\Documents\Media\line.dat
  • %Public%\Documents\Media\{random}.db
  • %Temporary Internet Files%\sharedir.tmp
  • %Temporary Internet Files%\hostname.tmp
  • %Temporary Internet Files%\workgrp.tmp
  • %Temporary Internet Files%\drivers.p
  • %Temporary Internet Files%\INFO.txt
  • %User Temp%\temp.vih
  • {Removable drive}:\RECYCLER\desktop.ini
  • {Removable drive}:\~thumbs.tmp
  • {Removable drive}:\RECYCLER\wmimgmt.com
  • %Temporary Internet Files%\ghi.bat
  • %Temporary Internet Files%\avpi.exe
DATA_GENERIC_FILENAME_1
  • Wählen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und drücken Sie die Eingabetaste.
  • Markieren Sie die gefundene Datei, und drücken Sie UMSCHALT+ENTF, um sie endgültig zu löschen.
  • Wiederholen Sie die Schritte 2 bis 4 für die übrigen Dateien:
      • %All Users Profile%\Application Data\wmimgmt.exe
      • %Temporary Internet Files%\s.log
      • %Temporary Internet Files%\t.log
      • %Public%\Documents\Media\line.dat
      • %Public%\Documents\Media\{random}.db
      • %Temporary Internet Files%\sharedir.tmp
      • %Temporary Internet Files%\hostname.tmp
      • %Temporary Internet Files%\workgrp.tmp
      • %Temporary Internet Files%\drivers.p
      • %Temporary Internet Files%\INFO.txt
      • %User Temp%\temp.vih
      • {Removable drive}:\RECYCLER\desktop.ini
      • {Removable drive}:\~thumbs.tmp
      • {Removable drive}:\RECYCLER\wmimgmt.com
      • %Temporary Internet Files%\ghi.bat
      • %Temporary Internet Files%\avpi.exe

    • Step 8

    AUTORUN.INF Dateien suchen und löschen, die von Worm.Win32.HILGILD.A erstellt wurden und diese Zeichenfolgen enthalten

    [ learnMore ]
    DATA_GENERIC
  • Falls ja, löschen Sie die Datei.
  • Wiederholen Sie die Schritte 3 bis 6 für die übrigen AUTORUN.INF Dateien in anderen Wechsellaufwerken.
  • Schließen Sie die Suchergebnisse.

    • Step 9

    1. Öffnen Sie eine Befehlszeile.
      • Benutzer von Windows 2000, Windows XP und Windows Server 2003: Klicken Sie auf Start>Ausführen. Geben Sie im Feld "Öffnen" CMD ein, und drücken Sie dann die Eingabetaste.
      • Benutzer von Windows Vista und Windows 7: Klicken Sie auf Start, geben Sie CMD in das Eingabefeld Suche starten ein, und drücken Sie die Eingabetaste.
    2. Geben Sie an der CMD-Konsole Folgendes ein:

      ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I] [Laufwerk:][Pfad][Dateiname] [/S [/D] [/L]]

      Wobei Folgendes gilt:
      + Legt ein Attribut fest.
      - Löscht ein Attribut.
      R Attribut für schreibgeschützte Datei
      A Attribut für Archivdatei
      S Attribut für Systemdatei
      H Attribut für verborgene Datei
      I Attribut für unindiziert Datei
      [Laufwerk:][Pfad][Dateiname]
      Gibt eine Datei bzw. Dateien an, die durch "attrib" verarbeitet werden sollen.
      /S Verarbeitet die zutreffenden Dateien im aktuellen Ordner und allen Unterordnern.
      /D Verarbeitet Ordner
      /L Ändert Attribute des symbolischen Links statt des Ziels des symbolischen Links
      Beispiel:
      So blenden Sie alle Dateien und Ordner (einschließlich der Unterordner) in Laufwerk D: ein
      ATTRIB –H D:\* /S /D
    3. Wiederholen Sie Schritt 3 für Ordner und Dateien auf anderen Laufwerken oder in anderen Verzeichnissen.

    Step 10

    Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Worm.Win32.HILGILD.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


    Participez à notre enquête!