SYMBOS_EXY.A
Information Stealer, Malicious Downloader
Symbian OS
Tipo di minaccia informatica:
Spyware
Distruttivo?:
No
Crittografato?:
In the wild::
Sì
Panoramica e descrizione
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Después ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.
Dettagli tecnici
Detalles de entrada
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Técnica de inicio automático
Infiltra los archivos siguientes:
- C:\sys\bin\Installer_SV.exe
- C:\sys\bin\LanPackage.exe
- C:\private\101f875a\import\[20028B98].rsc
Rutina de descarga
Después ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.
Otros detalles
Según el análisis de los códigos, tiene las siguientes capacidades:
- Creates the semaphore,EConServerSemaphore_0x20028B98 to ensure that only one instance of itself is running in memory.
- Creates the temporary files: C:\system\data\Local_Para.txt,C:\system\data\Remote_Para.txt,C:\system\data\NotPure.txt,C:\system\data\SisInfo.cfg and C:\system\data\Source.ini
- Gathers information such as phone type, IMEI number, and IMSI number
- It has the following certificate: Issued by Symbian CA I. Subject: Beijing GuoShengMingDao Technology Co. Ltd Issued to LanPackage_5 2.0.0. Valid from 24/08/2009 to 25/08/2019. Issued by VeriSign Testing-Based ACS Root for Symbian OS. Issued to Symbian Limited. Valid from 14/03/2007 to 27/08/2023.
- Silently installs an updated variant by visiting the website, http://{BLOCKED}y.com/Kernel.jsp?Version=2.0&PhoneType={phone type}&PhoneImei={IMEI num}&PhomeImsi={IMSI num}&Source={other parameter}
- Saves and executes the downloaded file as C:\private\20028B98\kel.sisx, which is detected as SYMBOS_YXES.D
- Accesses the website, http://{BLOCKED}y.com/KernelPara.jsp?Version=2.0&PhoneType={phone type}&PhoneImei={IMEI num}&PhomeImsi={IMSI num}&Source={other parameter} to download an encrypted data which is saved as C:\system\data\Kernel_Para.txt.
- Propagates by sending SMS messages with a link to a copy of itself to the list of numbers collected from the phone's contact list.
- Sends the gathered information to the server, http://{BLOCKED}y.com/Jump.jsp?Version=2.0&PhoneType={phone type}&PhoneImei={IMEI num}&PhomeImsi={IMSI num}&Source={other parameter}. The server then replies with a redirection to the website, http://{BLOCKED}pie.com.
- Terminates the following processes if found running in the affected system's memory: AppMngr, TaskSpy, Y-Tasks, ActiveFile, and TaskMan.
Soluzioni
Step 1
SOLUCIÓN TREND MICRO MOBILE SECURITY
Trend Micro ha lanzado una solución integrada para dispositivos móviles que explora de forma automática y en tiempo real los dispositivos inalámbricos para protegerlos de código malicioso y virus de Internet o de archivos internos ocultos.
Descargar la solución Trend Micro Security más reciente desde este sitio.
Step 2
Buscar y eliminar estos archivos
- C:\sys\bin\Installer_SV.exe
- C:\sys\bin\LanPackage.exe
- C:\private\101f875a\import\[20028B98].rsc
Step 3
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como SYMBOS_EXY.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Sondaggio