Lesetipps: Liebeserklärung vs. Copyright, Entengeflüster und Crackonosh

Artikel ansehen

Thema Crackonosh:

:thinking:

Sind die bei Reddit und Avast ständig nur besoffen?? Ich fürchte JA!

Das Installationsprogramm Inno Setup führt das folgende Skript aus. Wenn es feststellt, dass die Malware „sicher“ ist, installiert es die Crackonosh-Malware nach %SystemRoot%\system32\ und eine Konfigurationsdatei nach %localappdata%\Programme\Common und erstellt im Windows Taskplaner die Aufgaben InstallWinSAT zum Starten von maintenance.vbs und StartupCheckLibrary zum Starten von StartupcheckLibrary.vbs. Ansonsten tut er gar nichts.

Während sich das Windows-System im abgesicherten Modus befindet, funktioniert die Antiviren-Software nicht. Dies kann dem bösartigen Serviceinstaller.exe ermöglichen, den Windows Defender einfach zu deaktivieren und zu löschen. Er verwendet auch WQL, um alle installierten Antivirenprogramme abzufragen SELECT * FROM AntiVirusProduct. Wenn es eines der folgenden Antivirenprodukte findet, löscht es diese mit dem Befehl rd /s /q, wobei der Standardverzeichnisname ist, den das spezifische Antivirenprodukt verwendet.

Das Hauptziel von Crackonosh war die Installation des Coinminers XMRig, von allen Wallets, die wir gefunden haben, gab es eine, bei der wir Statistiken finden konnten. Die Poolseiten zeigten Auszahlungen von insgesamt 9000 XMR, also bei heutigen Preisen von über $2.000.000 USD.

Die Vorgehensweise, um den oder andere Miner zu installieren, das Antivir abzuschalten etc. pp. ist doch so alt, wie die Kryptos fast selber! nur weil ein paar neue VB-Dateien hinzugekommen sind, das Schema aber fast zu 100% gleich ist, wie die Jahre zuvor auch, muss man gleich ein riesiges Fass aufmachen!?!? :triumph: :-1: :eyes: