TSPY_URSNIF.THOIBEAN

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %Application Data%\{string1}{string2}\{string1}{string2}.exe
  • {string1} = first four letters of a dll file under %System% directory
  • {string2} = last four letters of a dll file under %System% directory

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Infiltra y ejecuta los archivos siguientes:

• %User Temp%\{random folder name}\{random filename}.bat = used to delete originally executed copy of itself. Deleted afterwards

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• explorer.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string1}{string2} = %Application Data%\{string1}{string2}\{string1}{string2}.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Vars

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Files

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Config

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
{UID} = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Main = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Block = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Temp = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Client = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Ini = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Keys = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Install = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
LastTask = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
LastConfig = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
CrHook = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
OpHook = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Exec = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
NetCfg = "{hex value}"

Rutina de infiltración

Infiltra los archivos siguientes:

• %User Temp%\{random filename}.bin
• %User Temp%\{random filename}.bin1

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Robo de información

Recopila los siguientes datos:

• System information
• Keyboard logs
• Browser cookies
• Email credentials
• Clipboard logs
• Installed software
• List of computers and devices on the network
• IP address
• Currently running processes
• Installed drivers

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• https://{BLOCKED}heck.com/images/{random path}.{jpeg | gif | bmp}
• https://{BLOCKED}la.com/images/{random path}.{jpeg | gif | bmp}