Win32/Gamarue
Win32/Gamarue adalah keluarga malware yang dapat men-download file dan mencuri informasi tentang PC anda.
keluarga malware ini dapat menyebar dengan menginfeksi removable drive.
Antivirus : Microsoft Safety Scanner dan Microsoft Windows Malicious Software Removal Tool.
Informasi :
1. Malware ini didistribusikan melalui mengeksploitasi kit, spamed email, dan lampiran bernama Photo.zip dan malware lainnya.
2. Ketika menjalankan, Win32/Gamarue membuat instance baru dari salah satu berkas berikut, dan menyuntikkan peledaknya ke proses baru :
- %SystemRot%\System32\Svchost.EXE
- %SystemRoot%\System32\Wuauclt.EXE
Jika malware ini berjalan dengan hak administrator, itu mungkin salin sendiri ke folder berikut :
- %USERPROFILE%\Local Settings\Temp
- %ALLUSERPROFILE\Local Settings\Temp
File itu salinan folder tersebut memiliki nama file acak, dan menggunakan salah satu ekstensi file berikut :
.bat
.cmd
.com
exe
.pif
.scr
3. Menyebar melalui Removable drive
Malware ini mungkin membuat salinan dari diri mereka sendiri ke root folder dari removable drive.
Beberapa varian akan drop komponen file ke removable drive dan membuat jalan pintas file itu, ketika dibuka, akan menjalankan komponen-komponen.
komponen ini mungkin
mengnstall salinan win32/Gamarue ke PC, atau mungkin men-download salinan malware dari server jauh, komponen-komponen yang mencoba untuk menyambung ke server berikut :
- conpastcon.com
- pastinwest.com
- lanamakotrue.com
- iurhjfnmflsdf.com
- mgrsdfkprogerg.com
Malware ini juga membuat file autorun.inf di root folder dari removable drive.
4. Win32/Gamarue telah diamati mencuri informasi berikut tentang PC :
- Informasi sistem operasi
- Alamat IP lokal
- Nomor seri akar volume
- Tingkat hak istimewa
5. Beberapa kontak gamarue server adalah :
- napasaran.ru
- zaletelly06.be
- zaletelly07.be
6. Berikut dapat mengindikasikan bahwa anda memiliki ancaman ini pada PC :
- anda lihat ini entri di registry anda :
Dalam subkunci : HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\menetapkan nilai "load".
- Anda mungkin menerima email dengan subyek Your ex sent me this picture (sic)of you, dan lampiran dengan nama Photo.zip
Informasi :
1. Malware ini didistribusikan melalui mengeksploitasi kit, spamed email, dan lampiran bernama Photo.zip dan malware lainnya.
2. Ketika menjalankan, Win32/Gamarue membuat instance baru dari salah satu berkas berikut, dan menyuntikkan peledaknya ke proses baru :
- %SystemRot%\System32\Svchost.EXE
- %SystemRoot%\System32\Wuauclt.EXE
Jika malware ini berjalan dengan hak administrator, itu mungkin salin sendiri ke folder berikut :
- %USERPROFILE%\Local Settings\Temp
- %ALLUSERPROFILE\Local Settings\Temp
File itu salinan folder tersebut memiliki nama file acak, dan menggunakan salah satu ekstensi file berikut :
.bat
.cmd
.com
exe
.pif
.scr
3. Menyebar melalui Removable drive
Malware ini mungkin membuat salinan dari diri mereka sendiri ke root folder dari removable drive.
Beberapa varian akan drop komponen file ke removable drive dan membuat jalan pintas file itu, ketika dibuka, akan menjalankan komponen-komponen.
komponen ini mungkin
mengnstall salinan win32/Gamarue ke PC, atau mungkin men-download salinan malware dari server jauh, komponen-komponen yang mencoba untuk menyambung ke server berikut :
- conpastcon.com
- pastinwest.com
- lanamakotrue.com
- iurhjfnmflsdf.com
- mgrsdfkprogerg.com
Malware ini juga membuat file autorun.inf di root folder dari removable drive.
4. Win32/Gamarue telah diamati mencuri informasi berikut tentang PC :
- Informasi sistem operasi
- Alamat IP lokal
- Nomor seri akar volume
- Tingkat hak istimewa
5. Beberapa kontak gamarue server adalah :
- napasaran.ru
- zaletelly06.be
- zaletelly07.be
6. Berikut dapat mengindikasikan bahwa anda memiliki ancaman ini pada PC :
- anda lihat ini entri di registry anda :
Dalam subkunci : HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\menetapkan nilai "load".
- Anda mungkin menerima email dengan subyek Your ex sent me this picture (sic)of you, dan lampiran dengan nama Photo.zip
Tidak ada komentar:
Posting Komentar