TrojanSpy.Win32.FAKEPOC.THAOGBE

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Stiehlt bestimmte Daten vom System und/oder dem Benutzer.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %User Temp%\{Random Hex}.tmp\{Random Hex}.tmp\{Random Hex}.ps1 → script containing the payload and deleted after executing.

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• powershell.exe –NoProfile -ExecutionPolicy Bypass -File %User Temp%\{Random Hex}.tmp\{Random Hex}.tmp\{Random Hex}.ps1

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Erstellt die folgenden Ordner:

• %User Temp%\{Random Hex}.tmp
• %User Temp%\{Random Hex}.tmp\{Random Hex}.tmp
• %User Temp%\{Random Filename}

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Download-Routine

Öffnet die folgenden Websites, um Dateien herunterzuladen:

• https://{BLOCKED}in.com/raw/9TxS7Ldc → site containing a PowerShell code used to execute another payload.

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %Windows%\{Random Filename}.ps1

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Datendiebstahl

Stiehlt folgende Daten:

• Computer Information
• List of Current Running Processes
• Files from Downloads Folder
• Files from Documents Folder
• Files from Desktop Folder
• List of Network IPs
• List of Network Adapters
• List of Installed Software/Packages

Sendet die gesammelten Informationen unter Verwendung der Anmeldedaten aus ihrer Konfigurationsdatei an die folgenden Websites:

• ftp://ftp.drivehq.com/wwwhome/{ZIP Filename} → it uses hardcoded login credentials to authenticate to the FTP server.

Entwendete Daten

Speichert die entwendeten Informationen in der folgenden Datei:

• %User Temp%\{Random Filename}\Info.txt → stores computer info
• %User Temp%\{Random Filename}\Download.txt → stores file list of Downloads folder
• %User Temp%\{Random Filename}\Documents.txt → stores file list of Documents folder
• %User Temp%\{Random Filename}\Desktop.txt → stores file list of Desktop folder
• %User Temp%\{Random Filename}\IP.txt → stores list of network IPs
• %User Temp%\{Random Filename}\NetAda.txt → stores list of network adapters
• %User Temp%\{Random Filename}\Prg.txt → stores list of installed software/packages
• %User Temp%\{Random Filename}\Proc.txt → stores process list
• %User Temp%\{Random Filename}.zip → ZIP archive containing the above files

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)