TSPY_EMOTET.SMD3

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

新(xīn)病毒详细信息

它以電(diàn)子邮件消息附件的形式出现，而此垃圾邮件由其他(tā)恶意软件/灰色软件/间谍软件或恶意用(yòng)户发送。

安(ān)装(zhuāng)

它植入和执行下列文(wén)件：

• %AppDataLocal%\Microsoft\Windows\{string 1}{string 2}.exe - drops the file here if it has no admin privileges, also detected as TSPY_EMOTET.SMD3
• System%\{string 1}{string 2}.exe - drops the file here if it has admin privileges, also detected as TSPY_EMOTET.SMD3
  
  where {string 1} and {string 2} is a combination of any of the following strings:
  • agent
  • app
  • audio
  • bio
  • bits
  • cache
  • card
  • cart
  • cert
  • com
  • crypt
  • dcom
  • defrag
  • device
  • dhcp
  • dns
  • event
  • evt
  • flt
  • gdi
  • group
  • help
  • home
  • host
  • info
  • iso
  • launch
  • log
  • logon
  • lookup
  • man
  • math
  • mgmt
  • msi
  • ncb
  • net
  • nv
  • nvidia
  • proc
  • prop
  • prov
  • provider
  • reg
  • rpc
  • screen
  • search
  • sec
  • server
  • service
  • shed
  • shedule
  • spec
  • srv
  • storage
  • svc
  • sys
  • system
  • task
  • time
  • video
  • view
  • win
  • window
  • wlan
  • wmi

它添加下列互斥条目，确保一次只会运行一个副本：

• M{hash of full file path}
• Global\M{volume serial number}

自启动技(jì )术

它通过添加下列注册表项，注册為(wèi)系统服務(wù)，确保在每次系统启动时自动执行：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{string 1}{string 2}
ImagePath = %System%\{string 1}{string 2}.exe
where {string 1} and {string 2} is the same name as the drop file

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string 1}{string 2} = "%AppDataLocal%\Microsoft\Windows\{string 1}{string 2}.exe"

下载例程

它然后执行已下载的文(wén)件。结果，已下载文(wén)件的恶意例程将呈现在受感染的系统中(zhōng)。

但截至本文(wén)截稿时為(wèi)止，上述网站均不可(kě)访问。