TROJ_CRYPTOX.SM

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Übertragungsdetails

Wird möglicherweise von den folgenden externen Sites heruntergeladen:

• {BLOCKED}la7qwv37qj.onion
• {BLOCKED}la7qwv37qj.tor2web.org

Installation

Schleust die folgenden Dateien ein:

• %Application Data%\tox.log - list of encrypted files.

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust folgende nicht bösartigen Dateien ein:

• %User Startup%\tox.html - Ransom Note

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Erstellt die folgenden Ordner:

• %Application Data%\tox_tor

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• toxcrypt

Autostart-Technik

Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

• %User Startup%\Tox.exe - copy of itself.

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}nkssujglja.onion
• http://{BLOCKED}xg64t5wnt.onion
• http://{BLOCKED}6jut2rupu4.onion

Verschlüsselt Dateien mit den folgenden Erweiterungen:

• .txt
• .odt
• .ods
• .odp
• .odm
• .odb
• .doc
• .docx
• .docm
• .wps
• .xls
• .xlsx
• .xlsm
• .xlsb
• .xlk
• .ppt
• .pptx
• .pptm
• .mdb
• .accdb
• .pst
• .dwg
• .dxf
• .dxg
• .wpd
• .indd
• .cdr
• .jpg
• .jpe
• .jpeg
• .dng
• .arw
• .mef
• .mrw
• .nef
• .nrw
• .orf
• .raf
• .raw
• .rwl
• .ptx
• .pef
• .srw
• .der
• .cer
• .rtf
• .mdf
• .dbf
• .psd
• .pdd
• .eps
• .crt
• .pem
• .pfx
• .pdf
• .odc
• .srf
• .bay
• .crw
• .dcr
• .kdc
• .erf
• .png
• .xml
• .sql
• .php
• .asp
• .aspx
• .css
• .cpp
• .hpp
• .java
• .class
• .veg
• .aep
• .aepx
• .blend
• .prproj
• .cad
• .tif
• .sitx
• .sit
• .rmvb
• .bmp
• .pps
• .pub
• .qbb
• .swf
• .asf
• .dss
• .qxd
• .cdl
• .mswmm
• .eml
• .csv

Benennt verschlüsselte Dateien in folgende Namen um:

• {original filename and extension}.toxcrypt