Worm.Win32.HERMWIZ.YECCA 後門程式以其他惡意軟體丟棄的檔案或用戶連接惡意網站時在不知不覺中下載的檔案形式到達系統

1.到達詳情：
後門程式以其他惡意軟體丟棄的檔案或用戶連接惡意網站時在不知不覺中下載的檔案形式到達系統。

2.安裝：

2-1.此後門程式會刪除以下文件：
一旦它在網路中建立到一個 IP 的連線：
(1){Malware File Path}\{Random 2}.ocx – module used for SMB propagation and execution to the remote machine
(2){Malware File Path}\{Random 3}.ocx – module used for WMI propagation and execution to the remote machine
(3){Malware File Path}\{c{12 Random Characters}}.dll – copy of itself

2-2.刪除並執行以下文件：
(1){Malware File Path}\{Random 1}.ocx – Disk Wiper

2-3.新增文件的過程：
建立與 IP 地址的連線後：
(1)%System%\regsvr32.exe {Malware File Path}\{Random 2}.ocx #1 -s
{Malware File Path}\{c{12 Random Characters}}.dll -i {Target IP Address}
(2)%System%\regsvr32.exe {Malware File Path}\{Random 3}.ocx #1 -s
{Malware File Path}\{c{12 Random Characters}}.dll -i {Target IP Address}

3.傳播：
此後門程式在遠端管理員共享中並刪除以下文件：
\{IP Address}\ADMIN$\{Malware File Path}\{c{12 Random Characters}}.dll

4.此後門程式執行以下操作：
通過以下方式獲取本地端的網路中 IP 地址：
(1)Obtaining the physical address mapping table
(2)Enumerating servers in the domain
(3)Obtaining the TCP Table
(4)Adapters addresses
獲得的 IP 地址上建立連線並遠端複製到受害者。

5.允許對使用以下Port找到的 IP 地址進行全面掃描：
Port：20、21、22、80、135、137、139、443、445