TrojanSpy.Win32.NOON.TIOIBEBZ

Instalación

Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:

• %Program Files%\{random name 1}\{random name 2}.exe
• %User Temp%\{random name 1}\{random name 2}.exe

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Agrega los procesos siguientes:

• {Malware filepath}\{Malware filename}

Crea las carpetas siguientes:

• %Program Files%\{random name 1}
• %User Temp%\{random name 1}
• %Application Data%\{random name 1}

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Este malware inyecta subprocesos en el/los siguiente(s) proceso(s) normal(es):

• explorer.exe

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• {Malware filepath}\{Malware filename} (The process added by the malware)

Robo de información

Recopila los siguientes datos:

• Keystrokes
• User's SID
• Operating system version
• Operating system architecture
• Username
• Clipboard content

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• %Application Data%\N1L772RV\N1Llog.ini – Keystrokes
• %Application Data%\N1L772RV\N1Llogrg.ini - Google passwords
• %Application Data%\N1L772RV\N1Llogim.jpeg - Screenshot
• %Application Data%\N1L772RV\N1Llogrv.ini - Windows Vault passwords
• %Application Data%\N1L772RV\N1Llogri.ini - Internet Explorer passwords
• %Application Data%\N1L772RV\N1Llogrf.ini - Firefox passwords
• %Application Data%\N1L772RV\N1Llogrt.ini - Thunderbird passwords
• %Application Data%\N1L772RV\N1Llogrc.ini - Outlook passwords
• %Application Data%\N1L772RV\N1Llogcl.ini - Clipboard content
• %Application Data%\N1L772RV\N1Llogro.ini - Opera passwords

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://www.{BLOCKED}tingfromaracist.com/uz/
• http://www.{BLOCKED}dai.com/uz/
• http://www.{BLOCKED}ngs.com/uz/
• http://www.{BLOCKED}tdy.com/uz/
• http://www.{BLOCKED}llsmb.com/uz/
• http://www.{BLOCKED}o.zone/uz/
• http://www.{BLOCKED}vices.net/uz/
• http://www.{BLOCKED}gn.cloud/uz/
• http://www.{BLOCKED}ourneyparking.com/uz/
• http://www.{BLOCKED}uty.com/uz/
• http://www.{BLOCKED}kills.info/uz/
• http://www.{BLOCKED}roup.com/uz/
• http://www.{BLOCKED}ndeddie.com/uz/
• http://www.{BLOCKED}ibilitycheck.com/uz/
• http://www.{BLOCKED}ngyi.com/uz/
• http://www.{BLOCKED}ine.com/uz/
• http://www.{BLOCKED}iews.com/uz/
• http://www.{BLOCKED}ialmediaexaminer.com/uz/
• http://www.{BLOCKED}il.com/uz/
• http://www.{BLOCKED}onbroadway.com/uz/
• http://www.{BLOCKED}tay.com/uz/
• http://www.{BLOCKED}ciaga.com/uz/
• http://www.{BLOCKED}i.red/uz/
• http://www.{BLOCKED}-beatz.com/uz/
• http://www.{BLOCKED}w.com/uz/
• http://www.{BLOCKED}esformoney12.com/uz/
• http://www.{BLOCKED}lighting.com/uz/