TrojanSpy.Win32.NOON.AG

Instalación

Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:

• %Program Files%\{random name 1}\{random name 2}.exe
• %User Temp%\{random name 1}\{random name 2}.exe

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Agrega los procesos siguientes:

• {Malware filepath}\{Malware filename}

Crea las carpetas siguientes:

• %Program Files%\{random name 1}
• %User Temp%\{random name 1}
• %Application Data%\N1L772RV

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Este malware inyecta subprocesos en el/los siguiente(s) proceso(s) normal(es):

• explorer.exe

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• {Malware filepath}\{Malware filename} (The process added by the malware)

Robo de información

Recopila los siguientes datos:

• Keystrokes
• User's SID
• Operating system version
• Operating system architecture
• Username
• Clipboard content

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• %Application Data%\N1L772RV\N1Llog.ini – Keystrokes
• %Application Data%\N1L772RV\N1Llogrg.ini - Google passwords
• %Application Data%\N1L772RV\N1Llogim.jpeg - Screenshot
• %Application Data%\N1L772RV\N1Llogrv.ini - Windows Vault passwords
• %Application Data%\N1L772RV\N1Llogri.ini - Internet Explorer passwords
• %Application Data%\N1L772RV\N1Llogrf.ini - Firefox passwords
• %Application Data%\N1L772RV\N1Llogrt.ini - Thunderbird passwords
• %Application Data%\N1L772RV\N1Llogrc.ini - Outlook passwords
• %Application Data%\N1L772RV\N1Llogcl.ini - Clipboard content
• %Application Data%\N1L772RV\N1Llogro.ini - Opera passwords

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• hxxp://www.{BLOCKED}c[.]com/ke/
• hxxp://www.{BLOCKED}lmalikitravels[.]com/ke/
• hxxp://www.{BLOCKED}ho[.]com/ke/
• hxxp://www.{BLOCKED}cil[.]com/ke/
• hxxp://www.{BLOCKED}msh[.]com/ke/
• hxxp://www.{BLOCKED}lding[.]com/ke/
• hxxp://www.{BLOCKED}omecanicaperez[.]com/ke/
• hxxp://www.{BLOCKED}edhealth[.]com/ke/
• hxxp://www.{BLOCKED}fecoach[.]com/ke/
• hxxp://www.{BLOCKED}ceoofmy.life/ke/
• hxxp://www.{BLOCKED}ero[.]com/ke/
• hxxp://www.{BLOCKED}idsphotography[.]com/ke/
• hxxp://www.{BLOCKED}duroi[.]com/ke/
• hxxp://www.{BLOCKED}yring[.]com/ke/
• hxxp://www.{BLOCKED}90[.]com/ke/
• hxxp://www.{BLOCKED}ano.group/ke/
• hxxp://www.{BLOCKED}milyfarm[.]com/ke/
• hxxp://www.{BLOCKED}x.net/ke/
• hxxp://www.{BLOCKED}i.ltd/ke/
• hxxp://www.{BLOCKED}neyoffcoupons[.]com/ke/
• hxxp://www.{BLOCKED}8[.]com/ke/
• hxxp://www.{BLOCKED}l[.]com/ke/
• hxxp://www.{BLOCKED}rybit.online/ke/
• hxxp://www.{BLOCKED}portboard[.]com/ke/
• hxxp://www.{BLOCKED}ao[.]com/ke/