TSPY_BOOTKOR.AF

Löscht sich nach der Ausführung selbst.

Installation

Schleust folgende Komponentendateien ein:

• %System%\gbp.ini
• %System%\golfinfo.ini
• %System%\{random filename1}.dll - also detected as TSPY_BOOTKOR.AF
• %System%\{random filename2}.exe - also detected as TSPY_BOOTKOR.AF
• %System%\{random filename1}.exe - also detected as TSPY_BOOTKOR.AF

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cookies = "C:\Documents and Settings\LocalService\Cookies"

(Note: The default value data of the said registry entry is "C:\Documents and Settings\NetworkService\Cookies".)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cache = "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files"

(Note: The default value data of the said registry entry is "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files".)

Erstellt auch die folgenden Registrierungseinträge während der eigenen Installation:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
{random2} = "{random1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random1}
NextInstance = dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random1}\
0000
Service = "{random1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random1}\
0000
Legacy = dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random1}\
0000
ConfigFlags = dword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random1}\
0000
Class = "LegacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random1}\
0000
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random1}\
0000
DeviceDesc = "{random3}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random1}\
0000\Control
ActiveService = "{random1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random1}
ImagePath = "%System%\svchost.exe -k {random2}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random1}
DisplayName = "{random3}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random1}\Parameters
ServiceDll = "%System%\{random filename1}.dll"

Datendiebstahl

Sendet die gesammelten Informationen unter Verwendung der Anmeldedaten aus ihrer Konfigurationsdatei an die folgenden Websites:

• {BLOCKED}.{BLOCKED}.75.28
• {BLOCKED}.{BLOCKED}.109.4

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

• Collect system information and send to the specified remote servers.
• Update its copy.
• Capture Screenshots when the process PMCLIENT.EXE is found.

Löscht sich nach der Ausführung selbst.