TSPY_URSNIF.LS

Liest die eigene Konfigurationsdatei, die Befehle und Daten enthält, die an einen Remote-Server gesendet werden sollen. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %Application Data%\{8 character string}\{8 character string}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein und führt sie aus:

• %User Temp%\{random folder name}\{random filename}.bat ← use to delete itself; deleted afterwards

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• Local\{GUID}

Injiziert Code in die folgenden Prozesse:

• explorer.exe
• opera.exe
• chrome.exe
• iexplore.exe
• firefox.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{8 character string} = "%Application Data%\{8 character string}\{8 character string}.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Vars

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Files

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Run

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Config

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
{Value Name} = "{hex value}"

where {Value Name} may any of the following:
• Install
• Client
• LastTask
• Exec
• CrHook
• OpHook
• Keys
• Ini

Backdoor-Routine

Liest die eigene Konfigurationsdatei, die Befehle und Daten enthält, die an einen Remote-Server gesendet werden sollen.

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

• http://{BLOCKED}a.ru/images/{random path}.{gif/jpeg}
• http://{BLOCKED}ka.ru/images/{random path}.{gif/jpeg}
• http://{BLOCKED}ka399.ru/images/{random path}.{gif/jpeg}

Einschleusungsroutine

Schleust die folgenden Dateien ein, in denen die gesammelten Daten gespeichert werden:

• %User Temp%\{random filename}.bin

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Datendiebstahl

Folgende Daten werden gesammelt:

• Computer Name
• Digital Certificates
• Cookies
• Keyboard Logs
• Clipboard Logs
• Captured Screenshot
• Email Credentials
• Running processes and services
• Installed device drivers
• Installed Programs
• System Information (Please see notes for more details)

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• http://{BLOCKED}a.ru/images/{random path}.bmp
• http://{BLOCKED}ka.ru/images/{random path}.bmp
• http://{BLOCKED}ka399.ru/images/{random path}.bmp