TrojanSpy.Win64.EMOTET.SMYXCETT

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites. Puede haberlo infiltrado otro malware.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Puede haberlo infiltrado el malware siguiente:

• Trojan.XF.EMOTET.YJCEZ

Instalación

Infiltra y ejecuta los archivos siguientes:

• If executed with administrator rights:
  • %System%\{random}\{random characters}.{3 random characters}
• If executed without administrator rights:
  • %AppDataLocal%\{random}\{random characters}.{3 random characters}

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Agrega los procesos siguientes:

• If executed with administrator rights:
  • %System%\regsvr32.exe "%System%\{random}\{random characters}.{3 random characters}"
• If executed without administrator rights:
  • %System%\regsvr32.exe "%AppDataLocal%\{random}\{random characters}.{3 random characters}"

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Crea las carpetas siguientes:

• If executed with administrator rights:
  • %System%\{random}
• If executed without administrator rights:
  • %AppDataLocal%\{random}

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{File name of dropped file} → If executed with admin rights
ImagePath = %System%\regsvr32.exe "%System%\{random}\{random characters}.{3 random characters}"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Downloads and runs module or executable file
• Downloads and executes code in memory
  • Process Listing

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

• For Download and run module command:
  • {Malware Installation Folder Path}\{random characters}.dll
• For Download and run executable file:
  • {Malware Installation Folder Path}\{random characters}.exe

Robo de información

Recopila los siguientes datos:

• Computer Name
• OS Version
• Process Architecture
• Volume Serial Number
• Windows Version
• Process ID
• Malware Path
• Running processes
• System Information

Otros detalles

Hace lo siguiente:

• It receives commands and sends encrypted gathered information to the following URLs via HTTP/HTTPS GET by storing it in the Cookie header:
  • http://{BLOCKED}.{BLOCKED}.82.196:8080
  • http://{BLOCKED}.{BLOCKED}.202.34:443
  • http://{BLOCKED}.{BLOCKED}.37.178:8080
  • http://{BLOCKED}.{BLOCKED}.244.7:443
  • http://{BLOCKED}.{BLOCKED}.66.124:8080
  • http://{BLOCKED}.{BLOCKED}.140.115:443
  • http://{BLOCKED}.{BLOCKED}.30.83:443
  • http://{BLOCKED}.{BLOCKED}.124.41:7080
  • http://{BLOCKED}.{BLOCKED}.247.144:8080
  • http://{BLOCKED}.{BLOCKED}.140.238:7080
  • http://{BLOCKED}.{BLOCKED}.75.120:443
  • http://{BLOCKED}.{BLOCKED}.163.214:443
  • http://{BLOCKED}.{BLOCKED}.152.127:8080
  • http://{BLOCKED}.{BLOCKED}.28.102:8080
  • http://{BLOCKED}.{BLOCKED}.99.3:8080
  • http://{BLOCKED}.{BLOCKED}.115.99:8080
  • http://{BLOCKED}.{BLOCKED}.109.124:443
  • http://{BLOCKED}.{BLOCKED}.201.15:8080
  • http://{BLOCKED}.{BLOCKED}.21.224:8080
  • http://{BLOCKED}.{BLOCKED}.193.249:8080
  • http://{BLOCKED}.{BLOCKED}.166.162:443
  • http://{BLOCKED}.{BLOCKED}.98.206:8080
  • http://{BLOCKED}.{BLOCKED}.131.28:8080
  • http://{BLOCKED}.{BLOCKED}.28.33:8080
  • http://{BLOCKED}.{BLOCKED}.112.196:8080
  • http://{BLOCKED}.{BLOCKED}.98.99:8080
  • http://{BLOCKED}.{BLOCKED}.242.26:8080
  • http://{BLOCKED}.{BLOCKED}.253.162:8080
  • http://{BLOCKED}.{BLOCKED}.227.137:8080
  • http://{BLOCKED}.{BLOCKED}.226.45:443
  • http://{BLOCKED}.{BLOCKED}.188.93:443
  • http://{BLOCKED}.{BLOCKED}.142.56:8080
  • http://{BLOCKED}.{BLOCKED}.196.120:8080
  • http://{BLOCKED}.{BLOCKED}.76.89:8080
  • http://{BLOCKED}.{BLOCKED}.20.25:443
  • http://{BLOCKED}.{BLOCKED}.24.231:80
  • http://{BLOCKED}.{BLOCKED}.66.193:8080
  • http://{BLOCKED}.{BLOCKED}.222.101:443
  • http://{BLOCKED}.{BLOCKED}.28.199:8080
  • http://{BLOCKED}.{BLOCKED}.251.154:8080
  • http://{BLOCKED}.{BLOCKED}.0.91:8080
  • http://{BLOCKED}.{BLOCKED}.39.149:8080
  • http://{BLOCKED}.{BLOCKED}.20.155:443
  • http://{BLOCKED}.{BLOCKED}.88.10:8080
  • http://{BLOCKED}.{BLOCKED}.17.99:8080
  • http://{BLOCKED}.{BLOCKED}.117.186:8080
  • http://{BLOCKED}.{BLOCKED}.45.86:4143
  • http://{BLOCKED}.{BLOCKED}.229.39:8080
  • http://{BLOCKED}.{BLOCKED}.35.198:8080
  • http://{BLOCKED}.{BLOCKED}.227.76:8080
  • http://{BLOCKED}.{BLOCKED}.215.74:443
  • http://{BLOCKED}.{BLOCKED}.146.25:7080
  • http://{BLOCKED}.{BLOCKED}.232.124:443
  • http://{BLOCKED}.{BLOCKED}.2.232:8080
  • http://{BLOCKED}.{BLOCKED}.222.11:443
  • http://{BLOCKED}.{BLOCKED}.135.165:8080
  • http://{BLOCKED}.{BLOCKED}.150.244:8080
  • http://{BLOCKED}.{BLOCKED}.201.2:443
  • http://{BLOCKED}.{BLOCKED}.42.236:80
  • http://{BLOCKED}.{BLOCKED}.116.246:8080
  • http://{BLOCKED}.{BLOCKED}.8.30:8080
  • http://{BLOCKED}.{BLOCKED}.21.73:7080