TSPY_ZBOT.SMCM

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen. Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Wird möglicherweise in folgende Prozesse injiziert, die im Arbeitsspeicher ausgeführt werden:

Übertragungsdetails

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Wird möglicherweise von den folgenden externen Sites heruntergeladen:

• http://{BLOCKED}mp.ru/china2030.exe

Installation

Schleust die folgenden Dateien ein:

• %Application Data%\{random2}\{random}.{random} - contains encrypted stolen data

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\{random1}\{random}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

• %Application Data%\{random1}
• %Application Data%\{random2}

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Wird möglicherweise in folgende Prozesse injiziert, die im Arbeitsspeicher ausgeführt werden:

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID of mount point of %Windows%} = "%Application Data%\{random1}\{malware filename}.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
{random}

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"

Datendiebstahl

Überwacht auf dem betroffenen System die Aktivitäten von Internet Explorer (IE), insbesondere die Adressleiste. Erstellt eine rechtmäßige Website mit einer gefälschten Anmeldeseite, wenn ein Benutzer Banking-Websites mit den folgenden Zeichenfolgen in der Adressleiste und/oder Titelleiste besucht:

• https://*/todo/ping.php*
• @*//www.svbconnect.com/security/challengeVerify.do
• @*//ultrabranch.alaskausa.org/efs/servlet/efs/*password*
• @*//ktt.key.com/ktt/cmd/validatePinForm
• @*//ktt.key.com/ktt/cmd/logonFromKeyCom
• @*ingdirect.com*
• https://www.rbworld.lv/bankworld/*/LoginBrowser/login*
• https://*sampopank.ee/ibank/login/login*
• https://www.ab.lv/*
• https://ebank.laiki.com/commonui/ebankcommonui/logonto.aspx
• https://newdb.bankofcyprus.com/netteller/Login*
• https://s2b.standardchartered.com/ssoapp/login.jsp*
• https://www.securecy.hellenicnetbanking.com/personal*/realindexpage.html
• http*://*/onlineserv/CM/*
• https://*.ebanking-services.com*SignIn.aspx*
• https://login.commbiz.commbank.com.au/*
• https://*.*.commbank.com.au/netbank/*
• http*.webcashmgmt.com*Login*
• http*.webcashmanager.com*Login*
• http*/phcp/servlet*Login*
• http*/wcmfd/*Login*
• http*/phcp/econnection/login/js/login.htm*
• http*/wcmfd/js/LoginCSS.js*
• https://bolb-east.associatedbank.com/*
• https://bolb-east.associatedbank.com/ui/base/js/jquery.js*
• https*/pub/html/login.html*
• https://*/cmserver*verify.cfm*
• https://*/cmserver*verify.cfm*
• https://*cmserver/include/ui/uiScripts.js*
• https://*login_ui_includes/login_brandScripts.js*
• https://*.web-access.com*welcome.cgi*
• https://ecash.*
• https://*Cashman*
• https://*cashman*
• https://www.commercial.hsbc.com.hk/1/2/!ut/p/kcxml/*

Greift auf die folgende Site zu, um die eigene Konfigurationsdatei herunterzuladen:

• http://{BLOCKED}e.ru/syria2020.bin
• http://{BLOCKED}ear.ru/fubakun.bin
• http://{BLOCKED}age.ru/mindozaq.bin
• http://{BLOCKED}luff.ru/quiteynos.bin
• http://www.{BLOCKED}pt2.ru/stoqibar.bin
• http://www.{BLOCKED}tomexixo.ru/ponchiret.bin

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• http://{BLOCKED}nake.ru/florida56.php