TSPY_URELAS.AC

Publish Date: 12 juin 2013

Analysé par: Rhena Inocencio

Trojan:Win32/Comisproc (Microsoft), Trojan.Win32.Wecod.pfa (Kaspersky)

Plate-forme:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

Overall Risk:

reportedInfection:

System Impact Rating: :

Information Exposure Rating::

Faible

Medium

Élevé

Critique

Type de grayware:
Spyware
Destructif:
Non
Chiffrement:
Oui
In the wild::
Oui

Overview

Détails techniques

File size: 1,160,192 bytes

File type: EXE

Memory resident: Oui

Date de réception des premiers échantillons: 20 mai 2013

Installation

Schleust folgende Komponentendateien ein:

{malware path}\$$WindowsXp.bat
- It used to delete the initial malware copy. This file is deleted after execution

Schleust die folgenden Eigenkopien in das betroffene System ein:

%Program Files%\Primary Interop Assemblies\Window system32\MSO\ SH123\ad0002.exe

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\ServiceHost SH123
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123
ImagePath = "%Program Files%\Primary Interop Assemblies\Window system32\MSO\ SH123\ad0002.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123
Type = "110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123
DisplayName = "Remote Access Connection Locate Host SH123_20111108"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_SERVICEHOST_SH123
NextInstance = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123\
0000\Control
ActiveService = "ServiceHost SH123"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123\
0000
DeviceDesc = "Remote Access Connection Locate Host SH123_20111108"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123\Enum
0 = "Root\LEGACY_SERVICEHOST_SH123\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123\
0000
Class = "LegacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123\
0000
ConfigFlags = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123\
0000
Legacy = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123\
0000
Service = "ServiceHost SH123"

Startet die folgenden Dienste:

ServiceName: ServiceHost SH123
DisplayName: Remote Access Connection Locate Host SH123_20111108
ImagePath: %Program Files%\Primary Interop Assemblies\Window system32\MSO\ SH123\ad0002.exe

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123

Datendiebstahl

Folgende Daten werden gesammelt:

Game screenshots
Operating system version
Computer name

Solutions

Moteur de scan minimum: 9.300

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Im abgesicherten Modus neu starten

[ learnMore ]

Step 3

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- ServiceHost SH123
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
- LEGACY_SERVICEHOST_SH123

Step 4

Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als TSPY_URELAS.AC entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Participez à notre enquête!

TSPY_URELAS.AC

Overview

Détails techniques

Solutions

Ressources

Support

À propos de Trend

Siège social national

TSPY_URELAS.AC

Overview

Détails techniques

Solutions

Ressources

Support

À propos de Trend

Siège social national

Amérique

Moyen-Orient et Afrique

Europe

Asie-Pacifique