TSPY_BANBRA.MUJL

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Infiltra los archivos siguientes:

• %User Temp%\sock.txt
• %All Users Profile%\BSystem\ksystem.exe
• %User Temp%\avinquer.txt
• %Application Data%\win64.txt
• %User Temp%\hookmgr.sys (detected as TROJ_GEN.R047C0DFR16)
• %User Temp%\chaves.txt
• %User Temp%\data.xml (contains scheduled task xml format)
• %User Temp%\data2.xml (contains scheduled task file)
• %User Temp%\modelo.txt (contains list of folders to delete)
• %Program Files%\{random file name 1}.txt (contains list of folders to delete)

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Infiltra y ejecuta los archivos siguientes:

• %System Root%\cleanup.bat (executed to remove traces of Avenger-related-files file-execution)
• %System Root%\cleanup.exe (executes cleanup.bat and avenger.txt at %root drive%)
• %User Temp%\mod.bat (executes mod.exe to load modelo.txt)

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Este malware infiltra el siguiente archivo no malicioso:

• %System%\drivers\{random file name 2}.sys (part of Avenger by swandog)
• %System Root%\zip.exe
• %User Temp%\mod.exe (part of Avenger by swandog)

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Técnica de inicio automático

Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
Cleanup = "%System Root%\cleanup.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\hookmgr
ImagePath = "\??\%User Temp%\hookmgr.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{random service name 1}
ImagePath = "system32\drivers\{random file name 2}.sys"

Registra el componente infiltrado como servicio del sistema para garantizar su ejecución automática cada vez que arranque el sistema. Para ello, crea las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{random service name 1}
ImagePath = "system32\drivers\{random file name 2}.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{random service name 1}
Start = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{random service name 1}
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{random service name 1}
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{random service name 1}
{random characters} = "\??\%Program Files%\{random file name 1}.txt"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{random service name 1}
{random characters} = "%Windows%"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{random service name 1}
{random characters} = "{random characters}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\hookmgr
ImagePath = "\??\%User Temp%\hookmgr.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\hookmgr
Type = "{random characters}" =

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\hookmgr
Type = "{random characters}" =

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• notepad.exe
• chrome.exe
• firefox.exe

Robo de información

Recopila los siguientes datos:

• keybordlogs
• clipboardlogs
• computername
• OS Version
• Default Browser
• Plugins
• Installed AV

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• {BLOCKED}tanadave.com/box/lop.php