TrojanSpy.MSIL.NEGASTEAL.KCM

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust folgende Dateien/Komponenten ein:

• %User Profile%\{Documents Folder}ICodeGenerator.txt
• %User Temp%\scan.exe

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{user name} unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Injiziert Code in die folgenden Prozesse:

• %Windows%\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Autostart-Technik

Schleust die folgenden Dateien in den Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

• %Common Startup%\{8 Random Characters}.exe

(Hinweis: %Common Startup% ist der gemeinsame Autostart-Ordner des Systems, normalerweise C:\Windows\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\All Users\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = 1

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System
DisableCMD = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoRun = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoControlPanel = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

Datendiebstahl

Folgende Daten werden gesammelt:

• Username
• Computer Name
• OS Name
• Processor Name
• Amount of Memory
• Keyboard Logs
• Usernames/Passwords from the following applications:
  • 360 Browser
  • 7Star
  • Amigo
  • BlackHawk
  • Brave
  • CentBrowser
  • Chedot
  • Chromium
  • Citrio
  • Coccoc
  • Comodo Dragon
  • Cool Novo
  • Coowon
  • Core FTP
  • CyberFox
  • Elements Browser
  • Epic Privacy
  • Firefox
  • Flock
  • IceCat
  • IceDragon
  • Internet Download Manager
  • Iridium Browser
  • K-Meleon
  • Kometa
  • Liebao Browser
  • Opera Browser
  • Orbitum
  • PaleMoon
  • Postbox
  • QIP Surf
  • SeaMonkey
  • Sleipnir 6
  • Sputnik
  • Thunderbird
  • Torch Browser
  • Uran
  • Vivaldi
  • WaterFox
  • Web Credentials
  • Windows Credential Picker Protector
  • Windows Credentials
  • Windows Domain Certificate Credential
  • Windows Domain Password Credential
  • Windows Extended Credential
  • Windows Generic Credential
  • Windows Secure Note
  • Windows Web Password Credential
  • Yandex Browser

Entwendete Daten

Sendet die gesammelten Daten über SMTP an die folgenden E-Mail-Adressen:

• office14r@{BLOCKED}eemirates.com