TrojanSpy.MSIL.NEGASTEAL.RJAHSPK

Instalación

Infiltra los archivos siguientes:

• %User Temp%\tmpG{Random}.tmp - copy of itself
• %Application Data%\{Random}\{Browser Profile Path}\cookies.sqlite
• %Application Data%\{Random}\{Email Profile Path}\cookies.sqlite
• %Application Data%\{Random}\Chrome\Default\Cookies

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

)

Otras modificaciones del sistema

Modifica los archivos siguientes:

• %System%\drivers\etc\hosts

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

)

Elimina los archivos siguientes:

• %Application Data%\{Random}\{Browser Profile Path}\cookies.sqlite
• %Application Data%\{Random}\{Email Profile Path}\cookies.sqlite
• %Application Data%\{Random}\Chrome\Default\Cookies

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

)

Robo de información

Recopila los siguientes datos:

• Time
• Username
• Computer Name
• OS Version
• CPU Architecture
• IP Address
• Location
• Primary Screen
• Network Configuration
• Other Hardware Information
• Browsers:
  • 7Star
  • Amigo
  • BlackHawk
  • Brave Browser
  • CentBrowser
  • Chedot
  • Chrome
  • ChromePlus
  • Chromium
  • Citrio
  • Comodo Dragon
  • Comodo IceDragon
  • Coowon
  • Cyberfox
  • CốcCốc Browser
  • Elements Browser
  • Epic Privacy Browser
  • Falkon
  • Flock
  • Icecat
  • Iridium
  • K-Meleon
  • Kometa
  • Liebao
  • Microsoft Edge
  • Mozilla Firefox
  • Opera Stable
  • Orbitum
  • Pale Moon
  • QIP Surf
  • QQBrowser
  • SeaMonkey
  • Sleipnir
  • Sputnik
  • Torch
  • UCBrowser
  • Uran
  • Vivaldi
  • Waterfox
  • Yandex
• Emails:
  • Becky!
  • Claws-Mail
  • eM Client
  • Eudora
  • FoxMail
  • IncrediMail
  • Mailbird
  • Opera Mail
  • Outlook
  • Pocomail
  • Postbox
  • The Bat!
  • Thunderbird
  • Windows Mail App
• FTPs:
  • cftp
  • CoreFTP
  • Filezilla
  • FlashFXP
  • FTP Commander
  • FTP Commander Deluxe
  • FTPGetter
  • FTP navigator
  • SmartFTP
  • WinSCP
  • WS_FTP
• Credentials from the following vaults:
  • Windows Secure Note
  • Windows Web Password Credential
  • Windows Credential Picker Protector
  • Web Credentials
  • Windows Credentials
  • Windows Domain Certificate Credential
  • Windows Domain Password Credential
  • Windows Extended Credential
• Clipboard data

Otros detalles

Hace lo siguiente:

• Installs a keylogger.