TSPY_RSTEALER.E
Windows
Malware-Typ:
Spyware
Zerstrerisch?:
Nein
Verschlsselt?:
Nein
In the wild::
Ja
Überblick
Verschlüsselt die Protokolldateien, in denen die gesammelten Daten enthalten sind.
Technische Details
Installation
Schleust folgende Komponentendateien ein:
- %Application Data%\IntelRapidStart\DelphiNative.dll - detected as TSPY_RSTEALER.B
- %Application Data%\IntelRapidStart\RapidStartTech.stl
- %Application Data%\IntelRapidStart\IntelRS.exe.config
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Schleust die folgenden Dateien ein und führt sie aus:
- %Application Data%\IntelRapidStart\IntelRS.exe - detected as TSPY_RSTEALER.B
- %Application Data%\IntelRapidStart\AppTransferWiz.dll - detected as TSPY_RSTEALER.B
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Erstellt die folgenden Ordner:
- %Application Data%\InterRapidStart
- %Application Data%\IntelRapidStart\ume
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Datendiebstahl
Folgende Daten werden gesammelt:
- System Information and Data:
- Computer Name
- Computer Username
- Computer Timezone
- Languages Installed
- Open Ports
- Installed Applications
- Running Process
- Remote Desktop Accounts
- Internal IP Addresses
- Public IP Addresses
- Keylogs
- Screenshot
- Clipboard Data
- Web Browser Information (Google Chrome, Firefox, Internet Explorer, Opera):
- Bookmarks
- Cookies
- Histories
- Store Passwords
- Proxies
- Instant Messenger Information (Gtalk, Pidgin, Skype, Yahoo Messenger):
- Username
- Password
Entwendete Daten
Speichert die entwendeten Informationen in der folgenden Datei:
- %Application Data%\IntelRapidStart\ume\Log_{Computer Name}_{Date}_{Time}.Enc
- %Application Data%\IntelRapidStart\ume\Img_{Computer Name}_{Date}_{Time}.Enc
- %Application Data%\IntelRapidStart\ume\Pass_{Computer Name}_{Date}_{Time}.Enc
- %Application Data%\IntelRapidStart\ume\Messenger_{Computer Name}_{Date}_{Time}.Enc
- %Application Data%\IntelRapidStart\ume\SysInfo_{Computer Name}_{Date}_{Time}.Enc
- %Application Data%\IntelRapidStart\ume\Browser_{Computer Name}_{Date}_{Time}.Enc
- %Application Data%\IntelRapidStart\ume\Prx_{Computer Name}_{Date}_{Time}.Enc
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:
- {BLOCKED}pdate.com:21
- office.{BLOCKED}-essentials.tk:21
Andere Details
Verschlüsselt die Protokolldateien, in denen die gesammelten Daten enthalten sind.
Lösungen
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
Im abgesicherten Modus neu starten
Step 5
Diese Ordner suchen und löschen
- %Application Data%\InterRapidStart
Step 6
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als TSPY_RSTEALER.E entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Nehmen Sie an unserer Umfrage teil