TrojanSpy.Win32.NOON.AG

Installation

Schleust eine Kopie von sich selbst in folgende Ordner ein, wobei verschiedene Dateinamen verwendet werden:

• %Program Files%\{random name 1}\{random name 2}.exe
• %User Temp%\{random name 1}\{random name 2}.exe

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• {Malware filepath}\{Malware filename}

Erstellt die folgenden Ordner:

• %Program Files%\{random name 1}
• %User Temp%\{random name 1}
• %Application Data%\N1L772RV

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Injiziert Threads in die folgenden normalen Prozesse:

• explorer.exe

Injiziert Code in die folgenden Prozesse:

• {Malware filepath}\{Malware filename} (The process added by the malware)

Datendiebstahl

Folgende Daten werden gesammelt:

• Keystrokes
• User's SID
• Operating system version
• Operating system architecture
• Username
• Clipboard content

Entwendete Daten

Speichert die entwendeten Informationen in der folgenden Datei:

• %Application Data%\N1L772RV\N1Llog.ini – Keystrokes
• %Application Data%\N1L772RV\N1Llogrg.ini - Google passwords
• %Application Data%\N1L772RV\N1Llogim.jpeg - Screenshot
• %Application Data%\N1L772RV\N1Llogrv.ini - Windows Vault passwords
• %Application Data%\N1L772RV\N1Llogri.ini - Internet Explorer passwords
• %Application Data%\N1L772RV\N1Llogrf.ini - Firefox passwords
• %Application Data%\N1L772RV\N1Llogrt.ini - Thunderbird passwords
• %Application Data%\N1L772RV\N1Llogrc.ini - Outlook passwords
• %Application Data%\N1L772RV\N1Llogcl.ini - Clipboard content
• %Application Data%\N1L772RV\N1Llogro.ini - Opera passwords

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• hxxp://www.{BLOCKED}c[.]com/ke/
• hxxp://www.{BLOCKED}lmalikitravels[.]com/ke/
• hxxp://www.{BLOCKED}ho[.]com/ke/
• hxxp://www.{BLOCKED}cil[.]com/ke/
• hxxp://www.{BLOCKED}msh[.]com/ke/
• hxxp://www.{BLOCKED}lding[.]com/ke/
• hxxp://www.{BLOCKED}omecanicaperez[.]com/ke/
• hxxp://www.{BLOCKED}edhealth[.]com/ke/
• hxxp://www.{BLOCKED}fecoach[.]com/ke/
• hxxp://www.{BLOCKED}ceoofmy.life/ke/
• hxxp://www.{BLOCKED}ero[.]com/ke/
• hxxp://www.{BLOCKED}idsphotography[.]com/ke/
• hxxp://www.{BLOCKED}duroi[.]com/ke/
• hxxp://www.{BLOCKED}yring[.]com/ke/
• hxxp://www.{BLOCKED}90[.]com/ke/
• hxxp://www.{BLOCKED}ano.group/ke/
• hxxp://www.{BLOCKED}milyfarm[.]com/ke/
• hxxp://www.{BLOCKED}x.net/ke/
• hxxp://www.{BLOCKED}i.ltd/ke/
• hxxp://www.{BLOCKED}neyoffcoupons[.]com/ke/
• hxxp://www.{BLOCKED}8[.]com/ke/
• hxxp://www.{BLOCKED}l[.]com/ke/
• hxxp://www.{BLOCKED}rybit.online/ke/
• hxxp://www.{BLOCKED}portboard[.]com/ke/
• hxxp://www.{BLOCKED}ao[.]com/ke/