TSPY_SPYEYE.WEC

Wird möglicherweise von anderer Malware von Remote-Sites heruntergeladen:

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Ändert Zoneneinstellungen von Internet Explorer.

Versucht, Daten zu entwenden, wie z. B. Benutzernamen und Kennwörter, die beim Anmelden auf Websites von Banken oder anderen Finanzdienstleistern verwendet werden.

Übertragungsdetails

Wird möglicherweise von folgenden Remote-Sites heruntergeladen:

• http://{BLOCKED}-college.de/Webformulare/documentus.exe

Wird möglicherweise von der folgender Malware von Remote-Sites heruntergeladen:

• TROJ_SPYEYE.WEC

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System Root%\Config.Msi\9A0EE2865BC.exe

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Schleust die folgenden Dateien ein:

• %System Root%\Config.Msi\CC6BCC177056B0C - encrypted configuration file

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

• %System Root%\Config.Msi

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Beendet die Ausführung der zunächst ausgeführten Kopie und führt stattdessen die eingeschleuste Kopie aus.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
9U7F2A5A0GVX1VWYRTE = "%System Root%:\Config.Msi\9A0EE2865BC.exe /q"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Microsoft Windows

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
EnabledV8 = 0

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
ShownServiceDownBalloon = 0

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery
ClearBrowsingHistoryOnExit = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyHttp1.1 = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnPostRedirect = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnIntranet = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = 0

Rootkit-Funktionen

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Datendiebstahl

Zielt auf die folgenden Websites ab:

• https://*.royalbank.com/cgi-bin/*
• http://rankgitter24.de/assets/rbc/index.html
• https://www.accountonline.com/cards/svc/Dashboard.do*
• https://online.citibank.com/US/*
• *discovercard.com/cardmembersvcs/strongauth/app/sa_main*
• *my.ebay.com/ws/eBayISAPI.dll?MyEbay*
• *oltx.fidelity.com/*/*/ofsummary/summary*
• https://secure.ingdirect.com/myaccount/INGDirect/*
• https://accounts.key.com/*
• *onlinebanking.mandtbank.com/summary/AccountSummary*
• https://securebank.regions.com/*
• https://trading.scottrade.com/*
• https://onlinebanking.tdbank.com/login*
• *usbank.com/internetBanking/RequestRouter?requestCmdId=G*
• https://www.vancity.com/*
• *wachovia.com*
• https://www.scotiaonline.scotiabank.com/portal/index.jsp?pageID=financial_services_banking*
• https://accesd.desjardins.com/*Operations/*
• https://www.txn.banking.pcfinancial.ca/a/banking/*
• https://www.hsbc.ca/1/2/!ut/p/c1/*
• http*://*wellsfargo.com/*
• http*easywebsoc.td.com*
• http*://*suntrust.com/*
• http*pnc.com*
• http*cibconline.cibc.com*
• http*://*chase.com/*
• http*capitalone.com*
• http*bmo.com*
• http*://*bankofamerica.com/*
• *online.wellsfargo.com/das/cgi-bin/session.cgi*
• https://*usbank.com/internetBanking/RequestRouterL
• https://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
• *online.wellsfargo.com/das/cgi-bin/session.cgi*
• *bankofamerica.com/cgi-bin/*GotoWelcomeL
• *suntrust.com/portal/server.pt?mode=*L
• *onlinebanking.tdbank.com/accts/getAccts.aspL
• https://*citibank.com/*BS_Id=MemberHomepage*
• https://*.wachovia.com/myAccounts.aspx*
• *www1.royalbank.com/cgi-bin/rbaccess/rbcgi3m01*
• *cibconline.cibc.com/olbtxn/accounts/*
• https://chaseonline.chase.com/MyAccounts.aspx
• https://chaseonline.chase.com/MyAccounts.aspx
• *bankofamerica.com/cgi-bin/*GotoWelcomeL
• https://www.moneybookers.com/app/login.pl*
• *paypal.com* */
• h*paypal.com/us/cgi-bin/webscr?cmd=_login-done&login_access=*
• *paypal*
• *royalbank.com/cgi-bin/rbaccess/rbcgi*L
• *royalbank.com/wps/myportal/OLB/!ut/*/*/*L
• http*://*royalbank.com/wps/myportal/OLB/!ut/*/*/*
• *royalbank.com/cgi-bin/rbaccess/rbcgi*L
• *royalbank.com/cgi-bin/rbaccess/rbcgi*L
• *royalbank.com/wps/myportal/OLB/!ut/*L
• *royalbank.com/wps/myportal/OLB/!ut/*L

Versucht, Daten von den folgenden Banken und/oder anderen Geldinstituten zu entwenden:

• Royal Bank of Canada
• CitiBank
• Discover Bank
• Ebay
• Fidelity
• Ing Direct
• Key Bank
• M&T Bank
• Regions
• Scottrade
• TD Bank
• U.S. Bank
• Vancity
• Wachovia
• Scotiabank
• Desjardins
• President's Choice Financial
• HSBC
• Wells Fargo
• SunTrust Bank
• CIBC
• JPMorgan Chase & Co.
• Bank of America
• Moneybookers
• Paypal

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• http://{BLOCKED}.113.194/test/logout.php
• http://{BLOCKED}arbuz.net/test/logout.php