Trojan.HTML.INFOSTEALER.THDOABO

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

• %User Temp%\0.png
• %User Temp%\1.png
• %User Temp%\2.png
• %User Temp%\3.png
• %User Temp%\4.png
• %User Temp%\1-index.htm -> used to display the PNG files and run the CAB file
• %User Temp%\~tmp6.cab -> main payload; detected as Trojan.Win32.INFOSTEALER.THDOABO
• %AppDataLocal%\systemsrv7.txt -> copy of ~tmp6.cab

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Agrega los procesos siguientes:

• cmd.exe /c for %i in (*.chm) do (hh -decompile %temp% %~i)&&cmd /c %temp%/~tmp6.cab

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• {any process with access rights}
• {any process with access rights}
  • The malware will continually inject codes into available processes until two infected processes are synchronized.

Técnica de inicio automático

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio del usuario de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

• %User Startup%\systemsrv7.lnk -> pointed to systemsrv7.txt

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows 2003(32-bit), XP y 2000(32-bit) en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio y en en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup).

Rutina de infiltración

Este malware infiltra el/los siguiente(s) archivo(s), que utiliza para su rutina de captura de teclado:

• %04d%02d%02d%02d%02d%02d%03d.LOG -> format is current year, month, day, hour, minute, second, and millisecond

Otros detalles

Muestra las imágenes siguientes:

• %User Temp%\0.png
• 
  
• %User Temp%\1.png
• 
  
• %User Temp%\2.png
• 
  
• %User Temp%\3.png
• 
  
• %User Temp%\4.png
• 
  
• http://{BLOCKED}ive.icu/downl/images/jpg_1.gif

Este malware carga archivos al/a los sitio(s) Web siguiente(s):

• http://{BLOCKED}ive.icu/upload10.php
  • %04d%02d%02d%02d%02d%02d%03d.LOG is uploaded.

Hace lo siguiente:

• It injects the following DLLs into the target processes:
  • Mngr.dll -> responsible for injection and synchronization
  • Klgr.dll -> logs user keystrokes
  • Send.dll -> uploads to the URL stated
  • Auto.dll -> creates autostart technique
  • Dldr.dll -> searches for specific .exe, .bat, .cmd, .vbs, and .js files and executes them
  • Brsr.dll -> browses drives and directories
• It attempts to a load a certain Krrde.dll.