Análisis realizado por : John Rainier Navato   
 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Detalles técnicos

Tamaño del archivo 709,103 bytes
Tipo de archivo EXE
Fecha de recepción de las muestras iniciales 13 Jul 2023

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\birkesenes.pac
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\ledvist.Roc157
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\radsaar.fri
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\rejekllingens.plo
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\annektere.uno
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\shivering.chr
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\torchman.not
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\zapas.lys
  • %User Profile%\angelo\julebuffet\cosmoid\Aregeneratory\dovendyrets\Forbrugerbevidstes\Antithet.Erh
  • %User Temp%\{6-alphanumeric characters}.tmp\System.dll
  • %All Users Profile%\remcos\logs.dat
  • %User Temp%\{6-alphanumeric characters 1}.tmp
  • %User Temp%\{6-alphanumeric characters 2}.tmp
  • %Temporary Internet Files%\Content.IE5\YEFGVF95\json[1].gp

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario} y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

)

Agrega los procesos siguientes:

  • {Malware File Path}\{Malware File Name}.exe

Crea las carpetas siguientes:

  • %User Profile%\angelo\julebuffet\cosmoid\Aregeneratory\dovendyrets\Forbrugerbevidstes
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic
  • %All Users Profile%\remcos
  • %User Temp%\{6-alphanumeric characters}.tmp

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario} y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
udkld
murray = 0x00000000

HKEY_CURRENT_USER\Software\Rmc-OB0RTV
exepath = {Hex Values}

HKEY_CURRENT_USER\Software\Rmc-OB0RTV
licence = {Hex Value}

HKCU\Software\Rmc-OB0RTV
time = {10-digit value}

Otros detalles

It connects to the following possibly malicious URL:

  • http://{BLOCKED}.{BLOCKED}.{BLOCKED}.52/IMBapQOoMPYrOmixJkLO29.bin
  • http://{BLOCKED}.{BLOCKED}.{BLOCKED}.50
  • https://{BLOCKED}gin.net