TSPY_TRICKBOT.TIOIBEAN

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.

Stiehlt bestimmte Daten vom System und/oder dem Benutzer.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Übertragungsdetails

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.

Installation

Schleust die folgenden Dateien ein:

• %Application Data%\{AMNI/AIMT}\Modules\{pwgrab32/pwgrab64} -> Encrypted module that is used to steal internet login credentials such as Internet Explorer, Mozilla Firefox, Google Chrome, Microsoft Edge, Filezilla, WinSCP and Microsoft Outlook
• %Application Data%\{AMNI/AIMT}\Modules\{tabDll32/tabDll64} -> Encrypted module that is used for its lateral movement in the infected machine's network.
• %Application Data%\{AMNI/AIMT}\Modules\{sharedll32dll/sharedll64dll} -> Encrypted module that is used to propagate itself via SMB and LDAP queries. It is used together with {wormDll32/wormDll64}.
• %Application Data%\{AMNI/AIMT}\Modules\{wormDll32/wormDll64} -> Encrypted module that is used to propagate itself via SMB and LDAP queries. It is used together with {sharedll32dll/sharedll64dll}.
• %Application Data%\{AMNI/AIMT}\FAQ -> contains the Victim's Unique ID
• %Application Data%\{AMNI/AIMT}\info.dat -> Encrypted data
• %Application Data%\{AMNI/AIMT}\README.md -> Identifier for network connection
• %Application Data%\{AMNI/AIMT}\Modules\{importDll32/importDll64} -> Encrypted module that steals credentials from Internet Applications
• %Application Data%\{AMNI/AIMT}\Modules\{injectDll32/injectDll64} -> Encrypted module that monitors websites possibly used for banking applications
• %Application Data%\{AMNI/AIMT}\Modules\{mailsearcher32/mailsearcher64} -> Encrypted module that searches for email addresses in the infected machine
• %Application Data%\{AMNI/AIMT}\Modules\{networkDll32/networkDll64} -> Encrypted module that performs network scanning
• %Application Data%\{AMNI/AIMT}\Modules\{systeminfo32/systeminfo64} -> Encrypted module that gathers system information of the infected machine
• %Application Data%\{AMNI/AIMT}\Modules\{injectDll32/injectDll64}_configs\dinj -> Encrypted configuration that lists websites to be monitored
• %Application Data%\{AMNI/AIMT}\Modules\{injectDll32/injectDll64}_configs\sinj -> Encrypted configuration that lists websites that will be redirected to a specific phishing URL
• %Application Data%\{AMNI/AIMT}\Modules\{injectDll32/injectDll64}_configs\dpost -> Encrypted configuration that lists C&C servers that receives stolen data from monitored websites
• %Application Data%\{AMNI/AIMT}\Modules\{networkDll32/networkDll64}\dpost -> Encrypted configuration that lists C&C servers that will receive stolen network information
• %Application Data%\{AMNI/AIMT}\Modules\{mailsearcherDll32/mailsearcherDll64}_configs\mailconf ->Encrypted configuration that lists C&C servers that will receive stolen email addresses

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\{AMNI/AIMT}\{malware file name}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• cmd /c sc stop WinDefend
• cmd /c sc delete WinDefend
• cmd /c powershell Set-MpPreference -DisableRealTimeMonitoring $true

Erstellt die folgenden Ordner:

• %Application Data%\{AMNI/AIMT}\Modules\{pwgrab32/pwgrab64}_configs
• %Application Data%\{AMNI/AIMT}\Modules\{tabDll32/tabDll64}_configs
• %Application Data%\{AMNI/AIMT}
• %Application Data%\{AMNI/AIMT}\Modules\
• %Application Data%\{AMNI/AIMT}\Modules\{mailsearcher32/mailsearcher64}_configs
• %Application Data%\{AMNI/AIMT}\Modules\{networkDll32/networkDll64}_configs
• %Application Data%\{AMNI/AIMT}\Modules\{injectDll32/injectDll64}_configs

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt die folgenden Dienste hinzu und führt sie aus:

• Service Name: SystemTypeSvc
• Service Display Name: TechnicalSvc
• Image Path: %SystemRoot%\system32\stsvc.exe or %SystemDrive%\stsvc.exe

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows Defender Security Center\
Notifications
DisableNotifications = 1

Datendiebstahl

Stiehlt folgende Daten:

• OS information (Architecture, Caption, CSDVersion)
• CPU Information (Name)
• Memory Information
• User Accounts
• Installed Programs
• Installed Services
• IP Configuration
• Network Information (Configuration, Users, Domain Settings)
• Email addresses
• Internet Credentials:
  
  • Usernames and Passwords
  • Internet Cookies
  • Browsing History
  • Internet Application Settings(Google Chrome, Mozilla Firefox, Internet Explorer)
• Credentials in the following Applications:
  
  • Microsoft Outlook
  • Filezilla
  • WinSCP

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• {BLOCKED}.{BLOCKED}.167.242:443
• {BLOCKED}.{BLOCKED}.101.25:443
• {BLOCKED}.{BLOCKED}.243.125:449
• {BLOCKED}.{BLOCKED}.105.252:443
• {BLOCKED}.{BLOCKED}.64.148:449
• {BLOCKED}.{BLOCKED}.249.230:443
• {BLOCKED}.{BLOCKED}.199.46:443
• {BLOCKED}.{BLOCKED}.40.119:449
• {BLOCKED}.{BLOCKED}.157.163:443
• {BLOCKED}.{BLOCKED}.218.139:443
• {BLOCKED}.{BLOCKED}.91.118:449
• {BLOCKED}.{BLOCKED}.162.86:443
• {BLOCKED}.{BLOCKED}.173.10:443
• {BLOCKED}.{BLOCKED}.188.224:449
• {BLOCKED}.{BLOCKED}.53.126:449
• {BLOCKED}.{BLOCKED}.171.234:449
• {BLOCKED}.{BLOCKED}.20.66:449
• {BLOCKED}.{BLOCKED}.140.89:443
• {BLOCKED}.{BLOCKED}.41.188:443
• {BLOCKED}.{BLOCKED}.182.112:449
• {BLOCKED}.{BLOCKED}.251.150:449
• {BLOCKED}.{BLOCKED}.94.107:443
• {BLOCKED}.{BLOCKED}.3.170:443
• {BLOCKED}.{BLOCKED}.50.85:443
• {BLOCKED}.{BLOCKED}.20.113:443
• {BLOCKED}.{BLOCKED}.74.84:449
• {BLOCKED}.{BLOCKED}.168.50:443
• {BLOCKED}.{BLOCKED}.86.52:449
• {BLOCKED}.{BLOCKED}.233.167:443
• {BLOCKED}.{BLOCKED}.105.252:443
• {BLOCKED}.{BLOCKED}.86.52:449
• {BLOCKED}x5kg7bl.onion:448
• {BLOCKED}.{BLOCKED}.63.233:447
• {BLOCKED}.{BLOCKED}.39.10:447
• {BLOCKED}.{BLOCKED}.39.252:447
• {BLOCKED},{BLOCKED}.249.187:447
• {BLOCKED}.{BLOCKED}.204.9:447
• {BLOCKED}.{BLOCKED}.198.167:447
• {BLOCKED}.{BLOCKED}.178.63:447
• {BLOCKED}.{BLOCKED}.105.68:447
• {BLOCKED}.{BLOCKED}.65.32:447
• {BLOCKED}.{BLOCKED}.155.117:447
• {BLOCKED}.{BLOCKED}.140.89:443
• {BLOCKED}.{BLOCKED}.229.158:449
• {BLOCKED}.{BLOCKED}.41.188:443
• {BLOCKED}.{BLOCKED}.182.112:449
• {BLOCKED}.{BLOCKED}.24.240:449
• {BLOCKED}.{BLOCKED}.94.107:443
• {BLOCKED}.{BLOCKED}.3.170:443
• {BLOCKED}.{BLOCKED}.50.85:443
• {BLOCKED}.{BLOCKED}.20.113:443
• {BLOCKED}.{BLOCKED}.74.84:449
• {BLOCKED}.{BLOCKED}.168.50:443
• {BLOCKED}.{BLOCKED}.83.22:443