TrojanSpy.Win32.Muyem.A
Windows
Type de grayware:
Trojan Spy
Destructif:
Non
Chiffrement:
Non
In the wild::
Oui
Overview
Entwendet Systemdaten.
Détails techniques
Installation
Fügt die folgenden Ordner hinzu:
- %ProgramData%\{Random String}
- %ProgramData%\{Random String}\files
- %ProgramData%\{Random String}\files\Autofill
- %ProgramData%\{Random String}\files\CC
- %ProgramData%\{Random String}\files\Cookies
- %ProgramData%\{Random String}\files\Downloads
- %ProgramData%\{Random String}\files\Files
- %ProgramData%\{Random String}\files\History
- %ProgramData%\{Random String}\files\Soft
- %ProgramData%\{Random String}\files\Soft\Authy
- %ProgramData%\{Random String}\files\Wallets
- %ProgramData%\{Random String}\files\Wallets\ElectronCash
- %ProgramData%\{Random String}\files\Wallets\Electrum
- %ProgramData%\{Random String}\files\Wallets\ElectrumLTC
- %ProgramData%\{Random String}\files\Wallets\Ethereum
- %ProgramData%\{Random String}\files\Wallets\Exodus
- %ProgramData%\{Random String}\files\Wallets\JAXX
- %ProgramData%\{Random String}\files\Wallets\MultiDoge
Einschleusungsroutine
Schleust die folgenden Dateien ein, in denen sie ihre gesammelten Daten speichert:
- %ProgramData%\{Random String}\c
- %ProgramData%\{Random String}\history
- %ProgramData%\{Random String}\ld
- %ProgramData%\{Random String}\historych
- %ProgramData%\{Random String}\wd
- %ProgramData%\{Random String}\files\cookie_list.txt
- %ProgramData%\{Random String}\files\outlook.txt
- %ProgramData%\{Random String}\files\information.txt
- %ProgramData%\{Random String}\files\screenshot.jpg
- %ProgramData%\{Random String}\files\Autofill\Google Chrome_Default.txt
- %ProgramData%\{Random String}\files\CC\Google Chrome_Default.txt
- %ProgramData%\{Random String}\files\Cookies\Google Chrome_Default.txt
- %ProgramData%\{Random String}\files\Cookies\cookies_Mozilla Firefox_dxxbjsgn.default.txt
- %ProgramData%\{Random String}\files\Cookies\Edge_Cookies.txt
- %ProgramData%\{Random String}\files\Cookies\IE_Cookies.txt
- %ProgramData%\{Random String}\files\Downloads\Google Chrome_Default.txt
- %ProgramData%\{Random String}\files\Files\Default.zip
- %ProgramData%\{Random String}\files\History\Google Chrome_Default.txt
- %ProgramData%\{Random String}\files\History\history_Mozilla Firefox_dxxbjsgn.default.txt
Download-Routine
Öffnet die folgenden Websites, um Dateien herunterzuladen:
- http://{BLOCKED}est.com/380
- http://{BLOCKED}est.com/freebl3.dll
- http://{BLOCKED}est.com/mozglue.dll
- http://{BLOCKED}est.com/msvcp140.dll
- http://{BLOCKED}est.com/nss3.dll
- http://{BLOCKED}est.com/softokn3.dll
- http://{BLOCKED}est.com/vcruntime140.dll
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- %ProgramData%\freebl3.dll
- %ProgramData%\mozglue.dll
- %ProgramData%\msvcp140.dll
- %ProgramData%\nss3.dll
- %ProgramData%\softokn3.dll
- %ProgramData%\vcruntime140.dll
Datendiebstahl
Entwendet Systemdaten.
Folgende Daten werden gesammelt:
- User credentials from the following:
- Telegram Desktop
- Mozilla Thunderbird
- Filezilla
- Screenshot of the desktop during execution
- Browser Information
- Autofill Data
- Cookies
- Browsing History
- Download History
- Browser Credentials
- System Information
- ISP
- Coordinates
- ZIP
- City
- Country
- IP
- Video Card
- RAM
- CPU Count
- Processsor
- Time Zone
- Local Time
- Keyboard Language
- Display Language
- Display Resolution
- User Name
- Computer Name
- Windows OS
- Working Directory
- GUID
- Machine ID
- Date
- Version
Entwendete Daten
Die entwendeten Informationen werden in der folgenden Datei gespeichert:
- %ProgramData%\{Random String}\files\US_{GUID}{Date}.zip
Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:
- http://{BLOCKED}est.com
Solutions
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
Diesen Ordner suchen und löschen
- %ProgramData%\{Random String}
Step 4
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TrojanSpy.Win32.Muyem.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participez à notre enquête!