TSPY_INFOSTEAL.TIDAOBV

Este malware se elimina tras la ejecución.

Instalación

Agrega las carpetas siguientes:

• %User Temp%\1Mo

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Infiltra los archivos siguientes:

• %User Temp%\1Mo\api-ms-win-core-console-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-datetime-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-debug-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-errorhandling-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-file-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-file-l1-2-0.dll
• %User Temp%\1Mo\api-ms-win-core-file-l2-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-handle-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-heap-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-interlocked-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-libraryloader-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-localization-l1-2-0.dll
• %User Temp%\1Mo\api-ms-win-core-memory-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-namedpipe-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-processenvironment-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-processthreads-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-processthreads-l1-1-1.dll
• %User Temp%\1Mo\api-ms-win-core-profile-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-rtlsupport-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-string-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-synch-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-synch-l1-2-0.dll
• %User Temp%\1Mo\api-ms-win-core-sysinfo-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-timezone-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-core-util-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-conio-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-convert-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-environment-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-filesystem-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-heap-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-locale-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-math-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-multibyte-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-private-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-process-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-runtime-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-stdio-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-string-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-time-l1-1-0.dll
• %User Temp%\1Mo\api-ms-win-crt-utility-l1-1-0.dll
• %User Temp%\1Mo\freebl3.dll
• %User Temp%\1Mo\mozglue.dll
• %User Temp%\1Mo\msvcp140.dll
• %User Temp%\1Mo\nss3.dll
• %User Temp%\1Mo\nssdbm3.dll
• %User Temp%\1Mo\softokn3.dll
• %User Temp%\1Mo\ucrtbase.dll
• %User Temp%\1Mo\vcruntime140.dll
• %Application Data%\tasklogon.exe
• %User Temp%\1.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Infiltra y ejecuta los archivos siguientes:

• %User Temp%\{malware filename}.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Robo de información

Recopila los siguientes datos:

• Memory Size
• User name of active user
• Admin status of active user
• Hardware ID of affected machine
• Windows Version

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED].{BLOCKED}.17.211/activation.php?key={encrypted stolen info}
• http://{BLOCKED}n.ml/index.php

Otros detalles

Este malware se elimina tras la ejecución.