GEMA-Trojaner (rx5iur6idx.exe)

GEMA-Trojaner
Achtung: Tätigen Sie keine Zahlung per Paysafecard! Diese Nachricht ist eine Falschmeldung und zielt nur darauf verunsicherte Nutzer zu bestehlen.
Download:
rx5iur6idx.rar (MD5: 79615c5dc40f4f92e9bcef07267b6d29)
PW: evild3ad.com

Windows 7

Kontoname: evild3ad | Kontotyp: Administrator

Dateisystem:
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E98REMGL\index[1].htm
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I3GGLCZX\buttons[1].css
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I3GGLCZX\index[1].htm
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OKSP015Y\bg[1].gif
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OKSP015Y\jquery.min[1].js
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RV2WG3OF\keyboard[1].js
C:\Benutzer\evild3ad\AppData\Local\Temp\~DFA40AE4AC8E18978E.TMP
C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe
C:\Benutzer\evild3ad\Desktop\dwlGina3.dll

Registry:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{zO6GMBsG-P0Lu-m6zG-Rn2O-mEvWgcvpFNqQ}\Yd92ZRE9ASh2qtG = “C:\Users\Admin\AppData\Roaming\rx5iur6idx.exe” /ActiveX
HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name = rx5iur6idx.exe
HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\ID = 236BF440
HKLM\SOFTWARE\Microsoft\Tracing\rx5iur6idx_RASAPI32
HKLM\SOFTWARE\Microsoft\Tracing\rx5iur6idx_RASMANCS
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Yd92ZRE9ASh2qtG = C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Yd92ZRE9ASh2qtG = C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDesktop
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTool, DisableTaskMgr
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced -> HideIcons
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\ -> Wert “1400” auf “0”
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\ -> Wert “1400” auf “0”
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\ -> Wert “1400” auf “0”

Die empfohlenen Sicherheitseinstellungen im Internet Explorer werden reduziert. Der Registrierungswert “1400” (Active Scripting”) wird bei den o.g. Sicherheitszonen auf “0” (aktiv) gesetzt. Das Formular bzw. Eingabefeld für die PIN ist in einer HTML-Page eingebettet und kann nun mittels ActiveX gerendert werden und nach Validierung der PIN mittels JavaScript an den Schurken-Server übermittelt werden.

DNS Requests:
www.fiftypercentworker.com (87.255.73.20)
ajax.googleapis.com

HTTP Requests:
www.fiftypercentworker.com GET /ref1/gate.php?…
www.fiftypercentworker.com GET /ref1_bezahlung/index.php

GEMA-Trojaner Funktionalitäten:
– liest die laufenden Prozesse aus
– liest Benutzername und SystemDefaultLangID aus
– übermittelt generierte Hardware ID, Computername, lokale IP-Adresse sowie Windows-Version an den Remote Host
– deaktiviert den Windows Task Manager sowie den Windows Registry Editor
– blendet die Icons auf dem Desktop aus

Infektionsweg:
Die Verteilung der Malware läuft laut Microsoft unter anderem über das BlackHole Exploit Kit, das den Rechner beim Besuch einer verseuchten Webseite zu einem BlackHole-Server umleitet und auf bekannte Sicherheitslücken in Java, Adobe Reader, Flash und Windows abklopft (Drive-By-Infektion). Hat das Exploit Kit ein Schlupfloch gefunden, infiziert es den Rechner mit der Ransomware.

Die Verbreitung erfolgt selbstverständlich auch über Links in Spam-Mails, die direkt auf die BlackHole-Server verweisen.

Im Zeitraum von Juli bis November 2011 hat Microsoft allein eine Variante des sogenannten BKA-Trojaners auf über 25.000 Rechnern deutscher Nutzer entdeckt. Wenn hier nur jeder zehnte User auf den Schwindel herein gefallen ist und die 100 Euro bezahlt hat, könnte die Beute der Cyberkriminellen immerhin 250.000 Euro betragen. Da Microsoft aber nicht der einzige AV-Hersteller auf dem deutschen Markt ist und es bei Nutzern von Avira, Kaspersky und Co. auch Opfer gibt, multiplizieren wir die vermeintliche Beute einfach nochmal mit dem Faktor 10 auf lukrative 2.500.000 Euro.

Es ist daher unabdingbar Betriebssystem, Browser (inkl. Plugins) und Anwendungen ständig auf dem aktuellen Stand zu halten. Tipp: Secunia Personal Software Inspector (PSI)



rx5iur6idx.exe (MD5: 79615c5dc40f4f92e9bcef07267b6d29)
Submission date: 2012-01-12 08:50:24 UTC
Result: 0/43 (0.0%)
Report

This entry was posted in BKA-Trojaner, Deutsch, GEMA-Trojaner, Malware Forensics, Ransomware. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>