TSPY_PASSTEAL.TY

Evita el cortafuegos de Windows. Esto permite al malware realizar su rutina sin que lo detecte el cortafuegos instalado.

Recopila información específica del sistema afectado.

Instalación

Infiltra los archivos siguientes:

• %System Root%\users\public\Public Document\aagj.bat - executes %All Users Profile%\Msn\Msn2\mdej.exe and cogj.reg
• %System Root%\users\public\Public Document\abc.klm - FTP upload configuration
• %System Root%\users\public\Public Document\stap.vbs - runs decj.bat
• %System Root%\users\public\Public Document\decj.bat - initialize main routine (see notes for details)
• %System Root%\users\public\Public Document\bar.zip - archive file (see notes for contents)
• %System Root%\users\public\Public Document\cogj.reg - registry editor file
• %System Root%\users\public\Public Document\iej.bat - runs dj.vbs
• %System Root%\users\public\Public Document\dj.vbs - runs iewj.bat
• %System Root%\users\public\Public Document\iewj.bat - detected as BAT_PASSTEAL.TY
• %System Root%\users\public\Public Document\saj.vbs - runs icj.bat
• %System Root%\users\public\Public Document\icj.bat - detected as BAT_PASSTEAL.TY
• %System Root%\users\public\Public Document\image.exe - detected as HKTL_SXPASSDUMP
• %System Root%\users\public\Public Document\images.exe - detected as HKTL_SXPASSDUMP
• %System Root%\users\public\Public Document\picture viewer.exe - detected as HKTL_SXPASSDUMP
• %All Users Profile%\Msn\Msn2\aagj.bat - used to execute %All Users Profile%\Msn\Msn2\mdej.exe and cogj.reg
• %All Users Profile%\Msn\Msn2\abc.klm - FTP upload configuration
• %All Users Profile%\Msn\Msn2\stap.vbs - runs decj.bat
• %All Users Profile%\Msn\Msn2\decj.bat - initialize main routine (see notes for details)
• %All Users Profile%\Msn\Msn2\bar.zip - archive file (see notes for contents)
• %All Users Profile%\Msn\Msn2\cogj.reg - registry editor file
• %All Users Profile%\Msn\Msn2\iej.bat - runs dj.vbs
• %All Users Profile%\Msn\Msn2\dj.vbs - runs iewj.bat
• %All Users Profile%\Msn\Msn2\iewj.bat - detected as BAT_PASSTEAL.TY
• %All Users Profile%\Msn\Msn2\saj.vbs - runs icj.bat
• %All Users Profile%\Msn\Msn2\icj.bat - detected as BAT_PASSTEAL.TY
• %All Users Profile%\Msn\Msn2\image.exe - detected as HKTL_SXPASSDUMP
• %All Users Profile%\Msn\Msn2\images.exe - detected as HKTL_SXPASSDUMP
• %All Users Profile%\Msn\Msn2\picture viewer.exe - detected as HKTL_SXPASSDUMP

Este malware infiltra los siguientes archivos no maliciosos:

• %System Root%\users\public\Public Document\crp.exe - Command Line File Crypter tool
• %System Root%\users\public\Public Document\mdej.exe - Keep Running tool
• %System Root%\users\public\Public Document\keeprun.ini - Keep Running tool config file
• %System Root%\users\public\Public Document\unzip.exe - unzip tool
• %All Users Profile%\Msn\Msn2\crp.exe - Command Line File Crypter tool
• %All Users Profile%\Msn\Msn2\mdej.exe - Keep Running tool
• %All Users Profile%\Msn\Msn2\keeprun.ini - Keep Running tool config file
• %All Users Profile%\Msn\Msn2\unzip.exe - unzip tool

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Crea las carpetas siguientes:

• %System Root%\users\public\Public Document
• %All Users Profile%\Msn
• %All Users Profile%\Msn\Msn2

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
stat = "%All Users Profile%\Msn\Msn2\aagj.bat"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
stat7 = "%System Root%\Users\Public\Public Document\mdej.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
stat2 = "%All Users Profile%\Msn\Msn2\aagj.bat"

Otras modificaciones del sistema

Modifica las siguientes entradas de registro para desactivar la configuración del cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(Note: The default value data of the said registry entry is 1.)

Robo de información

Recopila la siguiente información del sistema afectado:

• Email Passwords
• Stored IE Passwords
• Web Browser Passwords

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• %System Root%\users\public\Public Document\001-{date-yyyyddmm}_{time}.033 - retrieved Email passwords
• %System Root%\users\public\Public Document\001-{date-yyyyddmm}_{time}.034 - retrieved IE passwords
• %System Root%\users\public\Public Document\001-{date-yyyyddmm}_{time}.035 - retrieved web browser passwords

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Puntos de infiltración

Carga archivos en los siguientes sitios FTP:

• ftp.{BLOCKED}h.com
• sherrif.{BLOCKED}3.com

Otros detalles

Abre los archivos siguientes:

• %All Users Profile%\Msn\Msn2\pic.pdf - decoy PDF file
• %System Root%\users\public\Public Document\pic.pdf - decoy PDF file

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).