TrojanSpy.Win32.LUMMAC.NLJ
Trojan:Win32/LummaStealer.SX!MTB (MICROSOFT)
Windows
Threat Type:
Trojan Spy
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Este malware no tiene ninguna rutina de propagación.
Este malware no tiene ninguna rutina de puerta trasera.
Se conecta a determinados sitios Web para enviar y recibir información.
TECHNICAL DETAILS
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Propagación
Este malware no tiene ninguna rutina de propagación.
Rutina de puerta trasera
Este malware no tiene ninguna rutina de puerta trasera.
Robo de información
Recopila los siguientes datos:
- System Information:
- Malware's ID
- Malware's Complete Filename
- Malware's Execution Date and Time
- OS Information
- OS Installation Date
- Hardware ID
- RAM Information
- CPU Information
- GPU Information
- System Language
- Time Zone
- Username
- Computer Name
- Hostname
- Domain Name
- NetBIOS Domain Name
- Programs Installed
- Antivirus Installed
- Screen Resolution
- Clipboard Data
- Wallet Browser Extensions:
- Agrent X
- dlcobpjiigpikoobohmabehhmhfoodbb
- Auro
- cnmamaachppnkjgnildpdmkaakejnhae
- Backpack
- aflkmfhebedbjioipglgcbcmnbpgliof
- Binance Chain Wallet
- fhbohimaelbohpjbbldcngcnapndodjp
- BinanceWallet
- fhbohimaelbohpjbbldcngcnapndodjp
- BitApp
- fihkakfobkmkjojpchpfgcmhfjnmnfpi
- BitClip
- ijmpgkjfkbfhoebgogflfebnmejmfbm
- Braavos
- jnlgamecbpmbajjfhmmmlhejkemejdma
- Byone
- nlgbhdfgdhgbiamfdfmbikcdghidoadd
- Clover
- nhnkbkgjikgcigadomkphalanndcapjk
- Coin98
- aeachknmefphepccionboohckonoeemg
- Coinbase
- hnfanknocfeofbddgcijnmhnfnkdnaad
- Coinhub
- jgaaimajipbpdogpdglhaphldakikgef
- Compas Wallet
- anokgmphncpekkhclmingpimjmcooifb
- CryptoCom
- hifafgmccdpekplomjjkcfgodnhcellj
- Cyano
- dkdedlpgdmmkkfjabffeganieamfklkm
- DAppPlay
- lodccjjbdhfakaekdiahmedfbieldgik
- EnKrypt
- kkpllkodjeloidieedojogacfhpaihoh
- EQUA
- blnieiiffboillknjnepogjhkgnoapac
- ExodusWeb3
- aholpfdialjgjfhomihkjbmgjidlcdno
- Fluvi Wallet
- mmmjbcfofconkannjonfmjjajpllddbg
- Frontier Wallet
- kppfdiipphfccemcignhifpjkapfbihd
- Glass Wallet
- loinekcabhlmhjjbocijdoimmejangoa
- Guarda
- hpglfhgfnhbgpjdenjgmdgoeiappafln
- Guild
- nanjmdknhkinifnkgdcggcfnhdaammmj
- Havah Wallet
- cnncmdhjacpkmjmkcafchppbnpnhdmon
- Hycon Lite Client
- bcopgchhojmggmffilplmbdicgaihlkp
- ICONex
- flpiciilemghbmfalicajoolhkkenfe
- iWlt
- kncchdigobghenbbaddojjnnaogfppfj
- Jaxx Liberty
- cjelfplplebdjjenllpjcblmjkfcffne
- Keplr
- dmkamcknogkgcdfhhbddcghachkejeap
- KHC
- hcflpincpppdclinealmandijcmnkbgn
- Leaf
- cihmoadaighcejopammfbmddcmdekcje
- Leap Wallet
- fcfcfllfndlomdhbehjjcoimbgofdncg
- Liquality
- kpfopkelmapcoipemfendmdcghnegimn
- Magic Eden
- mkpegjkblkkefacfnmkajcjmabijhclg
- Martian
- efbglgofoippbgcjepnhiblaibcnclgk
- Math
- afbcbjpbpfadlkmhmclhkeeodmamcflc
- MetaMask
- ejbalbakoplchlghecdalmeeeajnimhm
- nkbihfbeogaeaoehlefnkodbefgpgknn
- MEW CX
- nlbmnnijcnlegkjjpcfjclmcfggfefdm
- MewCX
- nlbmnnijcnlegkjjpcfjclmcfggfefdm
- Morphis Wallet
- heefohaffomkkkphnlpohglngmbcclhi
- MultiversX Wallet
- dngmlblcodfobpdpecaadgfbcggfjfnm
- Nabox
- nknhiehlklippafakaeklbeglecifhad
- Nami
- lpfcbjknijpeeillifnkikgncikgfhdo
- Nash Extension
- onofpnbbkehpmmoabgpcpmigafmmnjh
- NeoLine
- cphhlgmgameodnhkjdmkpanlelnlohao
- Nifty
- jbdaocneiiinmjbjlgalhcelgbejmnid
- OKX
- mcohilncbfahbmgdjkbpemcciiolgcge
- OneKey
- infeboajgfhgbjpjbeppbkgnabfdkdaf
- Petra
- ejjladinnckdgjemekebdpeokbikhfci
- Phantom
- bfnaelmomeimhlpmgjnjophhpkkoljpa
- PolkadotJS
- mopnmbcafieddcagagdcbnhejhlodfdd
- Polymesh
- jojhfeoedkpkglbfimdfabpdfjaoolaf
- Pontem
- phkbamefinggmakgklpkljjmgibohnba
- Rabby
- acmacodkjbdgmoleebolmdjonilkdbch
- Ronin Wallet
- fnjhmkhhmkbjkkabndcnnogagogbneec
- Safepal
- lgmpcpglpngdoalbgeoldeajfclnhafa
- Saturn
- nkddgncdjgjfcddamfgcmfnlhccnimig
- Solflare
- bhhhlbepdkbapadjdnnojkbgioiodbic
- Sollet
- fhmfendgdocmcbmfikdcogofphimnkno
- Steem Keychain
- lkcjlnjfpbikmcmbachjpdbijejflpcm
- Sub
- onhogfjeacnfoofkfgppdlbmlmnplgbn
- Sui Wallet
- ocjdpmoallmgmjbbogfiiaofphbjgchh
- Sui
- opcgpfmipidbgpenhmajoajpbobppdil
- Talisman
- fijngjgcjhjmmpcmkeiomlglpeiijkld
- Temple
- ookjlbkiijinhpmnjffcofjonbfbgaoc
- Terra Station
- aiifbnbfobpmeekipheeijimdpnlpgpp
- TezBox
- mnfifefkajgofkcjkemidiaecocnkjeh
- TronLink
- ibnejdfjmmkpcnlpebklmnkoeoihofec
- Trust Wallet
- egjidjbpglichdcondbcbdnbeeppgdph
- UniSat
- ppbibelpcjmhbdihakflkdcoccbgbkpo
- Venom Wallet
- ojggmchlghnjlapmfbnjholfjkiidbch
- Wombat
- amkmjjmmflddogmhpjloimipbofnfjih
- XVerse Wallet
- idnnbdplmphpflfnlkomgpfbpcgelopg
- Yoroi
- ffnbelfdoeiohenkjibnmadjiehjhajb
- ZilPay
- klnaejjgbibmhlephnhpmaofohgkpgkd
- Agrent X
- Authenticator Browser Extensions:
- Authenticator
- bhghoamapcdpbohphigoooaddinpkbai
- Authy
- gaedmjdfmmahhbjefcbgaolhhanlaolb
- EOS Authenticator
- oeljdldpnmdbchonielidgobddfffla
- GAuth Authenticator
- ilgcnhelpchnceeipipijaljkblbcob
- Authenticator
- Password Manager Browser Extensions:
- Bitwarden
- nngceckbapebfimnlniiiahkandclblb
- Trezor Password Manager
- imloifkgjagghnncjkhggdhalmcnfklk
- Bitwarden
- Wallet Data Stored Locally:
- Atomic
- %Application Data%\atomic\Local Storage\leveldb
- All files
- %Application Data%\atomic\Local Storage\leveldb
- Binance
- %Application Data%\Binance
- app-store.json
- .finger-print.fp
- simple-storage.json
- window-state.json
- %Application Data%\Binance
- Bitcoin
- %Application Data%\Bitcoin\wallets
- All files
- %Application Data%\Bitcoin\wallets
- Coinomi
- %AppDataLocal%\Coinomi\Coinomi\wallets
- All files
- %AppDataLocal%\Coinomi\Coinomi\wallets
- Electrum
- %Application Data%\Electrum\wallets
- All files
- %Application Data%\Electrum\wallets
- Ethereum
- %Application Data%\Ethereum
- keystore
- %Application Data%\Ethereum
- Exodus
- %Application Data%\Exodus\exodus.wallet
- All files
- %Application Data%\Exodus\exodus.wallet
- Jaxx Liberty
- %Application Data%\com.liberty.jaxx\IndexedDB
- *.leveldb
- %Application Data%\com.liberty.jaxx\IndexedDB
- Ledger Live
- %Application Data%\Ledger Live
- All files
- %Application Data%\Ledger Live
- Atomic
- Application Data Stored Locally:
- AnyDesk
- %Application Data%\AnyDesk
- *.conf
- %Application Data%\AnyDesk
- Authy Desktop
- %Application Data%\Authy Desktop\Local Storage\leveldb
- All files
- %Application Data%\Authy Desktop\Local Storage\leveldb
- FileZilla
- %Application Data%\FileZilla
- recentservers.xml
- sitemanager.xml
- %Application Data%\FileZilla
- KeePass
- %User Profile%
- *.kbdx
- %User Profile%
- Telegram
- %Application Data%\Telegram Desktop
- *s
- C:\Program Files\Telegram Desktop
- *s
- C:\Program Files (x86)\Telegram Desktop
- *s
- %Application Data%\Telegram Desktop
- AnyDesk
- Browser User Data:
- 360 Browser
- %AppDataLocal%\360Browser\Browser\User Data
- Brave
- %AppDataLocal%\BraveSoftware\Brave-Browser\User Data
- Chrome Beta
- %AppDataLocal%\Google\Chrome Beta\User Data
- Chrome
- %AppDataLocal%\Google\Chrome\User Data
- Coc Coc
- %AppDataLocal%\CocCoc\Browser\User Data
- Edge
- %AppDataLocal%\Microsoft\Edge\User Data
- Epic Privacy Browser
- %AppDataLocal%\Epic Privacy Browser\User Data
- Mozilla Firefox
- %Application Data%\Mozilla\Firefox\Profiles
- Opera GX Stable
- %Application Data%\Opera Software\Opera GX Stable
- Opera Neon
- %AppDataLocal%\Opera Software\Opera Neon\User Data
- Opera
- %Application Data%\Opera Software\Opera Stable
- Vivaldi
- %AppDataLocal%\Vivaldi\User Data
- 360 Browser
- Email Client Data:
- The Bat!
- %Application Data%\The Bat!
- *.ABD
- *.EML
- *.FLX
- *.HBI
- *.mbox
- *.MSB
- *.MSG
- *.TBB
- *.TBK
- *.TBN
- *.txt
- %Application Data%\The Bat!
- Pegasus Mail
- C:\PMAIL
- *.CNM
- *.PM
- *.PMF
- *.PML
- *.PMN
- *.USR
- *.WPM
- *CACHE.PM
- C:\PMAIL
- Mailbird
- %AppDataLocal%\Mailbird\Store
- *.db
- %AppDataLocal%\Mailbird\Store
- eM Client
- %Application Data%\eM Client
- *.dat
- *.dat-shm
- *.dat-wal
- *.eml
- %Application Data%\eM Client
- The Bat!
- Text Files:
- %User Profile%
- *bitcoin*.txt
- *ledger*.txt
- *metamask*.txt
- *pass*.txt
- *seed*.txt
- *trezor*.txt
- *wallet*.txt
- *words*
- %User Profile%\Desktop
- *.txt
- %User Profile%
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario} y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}).
)Información sustraída
Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:
- https://{BLOCKED}kywo.shop/api
Otros detalles
Se conecta al sitio Web siguiente para enviar y recibir información:
- https://{BLOCKED}kywo.shop
Hace lo siguiente:
- It compiles and compresses the stolen information in memory before sending it to the C&C server.
SOLUTION
Step 2
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como TrojanSpy.Win32.LUMMAC.NLJ En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Did this description help? Tell us how we did.