TrojanSpy.MSIL.NEGASTEAL.KCM

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

• %User Profile%\{Documents Folder}ICodeGenerator.txt
• %User Temp%\scan.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario} y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}).

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• %Windows%\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Técnica de inicio automático

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

• %Common Startup%\{8 Random Characters}.exe

(Nota: %Common Startup% es la carpeta de inicio común del sistema, que en el caso de Windows 98 y ME suele estar en C:\Windows\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\All Users\Programas\Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio).

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = 1

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System
DisableCMD = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoRun = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoControlPanel = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

Robo de información

Recopila los siguientes datos:

• Username
• Computer Name
• OS Name
• Processor Name
• Amount of Memory
• Keyboard Logs
• Usernames/Passwords from the following applications:
  • 360 Browser
  • 7Star
  • Amigo
  • BlackHawk
  • Brave
  • CentBrowser
  • Chedot
  • Chromium
  • Citrio
  • Coccoc
  • Comodo Dragon
  • Cool Novo
  • Coowon
  • Core FTP
  • CyberFox
  • Elements Browser
  • Epic Privacy
  • Firefox
  • Flock
  • IceCat
  • IceDragon
  • Internet Download Manager
  • Iridium Browser
  • K-Meleon
  • Kometa
  • Liebao Browser
  • Opera Browser
  • Orbitum
  • PaleMoon
  • Postbox
  • QIP Surf
  • SeaMonkey
  • Sleipnir 6
  • Sputnik
  • Thunderbird
  • Torch Browser
  • Uran
  • Vivaldi
  • WaterFox
  • Web Credentials
  • Windows Credential Picker Protector
  • Windows Credentials
  • Windows Domain Certificate Credential
  • Windows Domain Password Credential
  • Windows Extended Credential
  • Windows Generic Credential
  • Windows Secure Note
  • Windows Web Password Credential
  • Yandex Browser

Información sustraída

Este malware envía los datos que recopila a las siguientes direcciones de correo electrónico a través de SMTP:

• office14r@{BLOCKED}eemirates.com