TSPY_INFOSTEAL.TIDAOBV

Löscht sich nach der Ausführung selbst.

Installation

Fügt die folgenden Ordner hinzu:

• %User Temp%\1Mo

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

• %User Temp%\1Mo\api-ms-win-core-console-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-datetime-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-debug-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-errorhandling-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-file-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-file-l1-2-0.dll
• %User Temp%\1Mo\api-ms-win-core-file-l2-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-handle-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-heap-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-interlocked-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-libraryloader-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-localization-l1-2-0.dll
• %User Temp%\1Mo\api-ms-win-core-memory-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-namedpipe-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-processenvironment-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-processthreads-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-processthreads-l1-1-1.dll
• %User Temp%\1Mo\api-ms-win-core-profile-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-rtlsupport-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-string-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-synch-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-synch-l1-2-0.dll
• %User Temp%\1Mo\api-ms-win-core-sysinfo-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-timezone-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-util-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-conio-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-convert-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-environment-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-filesystem-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-heap-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-locale-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-math-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-multibyte-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-private-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-process-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-runtime-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-stdio-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-string-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-time-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-utility-l1-1-0.dll
• %User Temp%\1Mo\freebl3.dll
• %User Temp%\1Mo\mozglue.dll
• %User Temp%\1Mo\msvcp140.dll
• %User Temp%\1Mo\nss3.dll
• %User Temp%\1Mo\nssdbm3.dll
• %User Temp%\1Mo\softokn3.dll
• %User Temp%\1Mo\ucrtbase.dll
• %User Temp%\1Mo\vcruntime140.dll
• %Application Data%\tasklogon.exe
• %User Temp%\1.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein und führt sie aus:

• %User Temp%\{malware filename}.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Datendiebstahl

Folgende Daten werden gesammelt:

• Memory Size
• User name of active user
• Admin status of active user
• Hardware ID of affected machine
• Windows Version

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• http://{BLOCKED].{BLOCKED}.17.211/activation.php?key={encrypted stolen info}
• http://{BLOCKED}n.ml/index.php

Andere Details

Löscht sich nach der Ausführung selbst.