TrojanSpy.Win32.NOON.TIOIBEBZ

Installation

Schleust eine Kopie von sich selbst in folgende Ordner ein, wobei verschiedene Dateinamen verwendet werden:

• %Program Files%\{random name 1}\{random name 2}.exe
• %User Temp%\{random name 1}\{random name 2}.exe

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• {Malware filepath}\{Malware filename}

Erstellt die folgenden Ordner:

• %Program Files%\{random name 1}
• %User Temp%\{random name 1}
• %Application Data%\{random name 1}

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Injiziert Threads in die folgenden normalen Prozesse:

• explorer.exe

Injiziert Code in die folgenden Prozesse:

• {Malware filepath}\{Malware filename} (The process added by the malware)

Datendiebstahl

Folgende Daten werden gesammelt:

• Keystrokes
• User's SID
• Operating system version
• Operating system architecture
• Username
• Clipboard content

Entwendete Daten

Speichert die entwendeten Informationen in der folgenden Datei:

• %Application Data%\N1L772RV\N1Llog.ini – Keystrokes
• %Application Data%\N1L772RV\N1Llogrg.ini - Google passwords
• %Application Data%\N1L772RV\N1Llogim.jpeg - Screenshot
• %Application Data%\N1L772RV\N1Llogrv.ini - Windows Vault passwords
• %Application Data%\N1L772RV\N1Llogri.ini - Internet Explorer passwords
• %Application Data%\N1L772RV\N1Llogrf.ini - Firefox passwords
• %Application Data%\N1L772RV\N1Llogrt.ini - Thunderbird passwords
• %Application Data%\N1L772RV\N1Llogrc.ini - Outlook passwords
• %Application Data%\N1L772RV\N1Llogcl.ini - Clipboard content
• %Application Data%\N1L772RV\N1Llogro.ini - Opera passwords

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• http://www.{BLOCKED}tingfromaracist.com/uz/
• http://www.{BLOCKED}dai.com/uz/
• http://www.{BLOCKED}ngs.com/uz/
• http://www.{BLOCKED}tdy.com/uz/
• http://www.{BLOCKED}llsmb.com/uz/
• http://www.{BLOCKED}o.zone/uz/
• http://www.{BLOCKED}vices.net/uz/
• http://www.{BLOCKED}gn.cloud/uz/
• http://www.{BLOCKED}ourneyparking.com/uz/
• http://www.{BLOCKED}uty.com/uz/
• http://www.{BLOCKED}kills.info/uz/
• http://www.{BLOCKED}roup.com/uz/
• http://www.{BLOCKED}ndeddie.com/uz/
• http://www.{BLOCKED}ibilitycheck.com/uz/
• http://www.{BLOCKED}ngyi.com/uz/
• http://www.{BLOCKED}ine.com/uz/
• http://www.{BLOCKED}iews.com/uz/
• http://www.{BLOCKED}ialmediaexaminer.com/uz/
• http://www.{BLOCKED}il.com/uz/
• http://www.{BLOCKED}onbroadway.com/uz/
• http://www.{BLOCKED}tay.com/uz/
• http://www.{BLOCKED}ciaga.com/uz/
• http://www.{BLOCKED}i.red/uz/
• http://www.{BLOCKED}-beatz.com/uz/
• http://www.{BLOCKED}w.com/uz/
• http://www.{BLOCKED}esformoney12.com/uz/
• http://www.{BLOCKED}lighting.com/uz/