TrojanSpy.Win32.FORMBOOK.DE

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Diese Malware hat keine Verbreitungsroutine.

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

Zeichnet die Tastatureingaben eines Benutzers auf, um Daten zu entwenden.

Beendet sich selbst, falls festgestellt wird, dass die Ausführung in einer virtuellen Umgebung erfolgt.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Ordner hinzu:

• %AppDataLocal%\VirtualDirectoryPlayerGUI
• %Application Data%\{Random characters} → contains logs with gathered data

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Program Files%\{Random characters}\{Random characters}.exe

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Schleust die folgenden Dateien ein:

• %AppDataLocal%\VirtualDirectoryPlayerGUI\VirtualDirectoryPlayer.exe
  • detected as TrojanSpy.Win32.FORMBOOK.DE
• %AppDataLocal%\VirtualDirectoryPlayerGUI\libexiv3.dll → decrypts VirtualDirectoryPlayer.exe
  • detected as TrojanSpy.Win32.FORMBOOK.DE
• %AppDataLocal%\VirtualDirectoryPlayerGUI\configuration.xml → loaded into libexiv3.dll

Schleust folgende nicht bösartigen Dateien ein:

• %AppDataLocal%\VirtualDirectoryPlayerGUI\libnspr4.dll
• %AppDataLocal%\VirtualDirectoryPlayerGUI\libsasl2-3.dll
• %AppDataLocal%\VirtualDirectoryPlayerGUI\libwebp-fb2k.dll
• %AppDataLocal%\VirtualDirectoryPlayerGUI\license.txt
• %AppDataLocal%\VirtualDirectoryPlayerGUI\shared.dll
• %AppDataLocal%\VirtualDirectoryPlayerGUI\zlib1.dll
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\auth.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\error.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\info.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\mail.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\question.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\auth.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\cool.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\dialog.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\error.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\info.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\mail.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\question.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\warning.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\auth.svg
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\cool.svg
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\dialog.svg
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\error.svg
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\info.svg
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\question.svg
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\warning.svg

Fügt die folgenden Prozesse hinzu:

• %AppDataLocal%\VirtualDirectoryPlayerGUI\VirtualDirectoryPlayer.exe
• %System%\cmd.exe /c del {Dropped malicious executable}

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

Injiziert Code in die folgenden Prozesse:

• explorer.exe → communicates with C2 Server
• Any of the following legitimate Windows Application (spawned by hijacked explorer.exe):
  • audiodg.exe
  • autochk.exe
  • autoconv.exe
  • autofmt.exe
  • chkdsk.exe
  • cmd.exe.
  • cmmon32.exe
  • cmstp.exe
  • colorcpl.exe
  • control.exe
  • cscript.exe
  • dwm.exe
  • explorer.exe
  • help.exe
  • ipconfig.exe
  • lsass.exe
  • lsm.exe
  • msdt.exe
  • msg.exe
  • msiexec.exe
  • mstsc.exe
  • NAPSTAT.EXE
  • nbtstat.exe
  • netsh.exe
  • NETSTAT.EXE
  • raserver.exe
  • rdpclip.exe
  • rundll32.exe
  • services.exe
  • spoolsv.exe
  • svchost.exe
  • systray.exe
  • taskhost.exe
  • wininit.exe
  • wlanext.exe
  • wscript.exe
  • wuapp.exe
  • wuauclt.exe
  • WWAHost.exe
• Targeted Applications

Beendet sich selbst, wenn die folgenden Prozesse im Speicher des betroffenen Systems gefunden werden:

• vmwareuser.exe
• vmwareservice.exe
• vboxservice.exe
• vboxtray.exe
• sandboxiedcomlaunch.exe
• sandboxierpcss.exe
• procmon.exe
• filemon.exe
• wireshark.exe
• netmon.exe
• prl_tools_service.exe
• prl_tools.exe
• prl_cc.exe
• SharedIntApp.exe
• vmtoolsd.exe
• vmsrvc.exe
• vmusrvc.exe
• python.exe
• perl.exe
• regmon.exe

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Random Characters} = %Program Files%\{Random}\{Random}.exe

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Download and execute a file
• Update Self
• Uninstall Self
• Execute Arbitrary Commands
• Clear cookies
• Reboot System
• Shutdown System
• Send gathered data to C2 Server

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

• http://www.{BLOCKED}ding.net/vns/
• http://www.{BLOCKED}dhousedesigns.design/vns/
• http://www.{BLOCKED}eatsgamingclan.com/vns/
• http://www.{BLOCKED}erbsindia.com/vns/
• http://www.{BLOCKED}clnicadelvnculo-gvbi.com/vns/
• http://www.{BLOCKED}thalmica.com/vns/
• http://www.{BLOCKED}cia.com/vns/
• http://www.{BLOCKED}i.site/vns/
• http://www.{BLOCKED}lpardis.com/vns/
• http://www.{BLOCKED}portal.com/vns/
• http://www.{BLOCKED}sbroider.com/vns/
• http://www.{BLOCKED}rchids.com/vns/
• http://www.{BLOCKED}art.net/vns/
• http://www.{BLOCKED}ayresidency.com/vns/
• http://www.{BLOCKED}eint.com/vns/
• http://www.{BLOCKED}edmagic.com/vns/
• http://www.{BLOCKED}pressworld.com/vns/
• http://www.{BLOCKED}sresolve.com/vns/
• http://www.{BLOCKED}rsotocheckup-5fcc.com/vns/
• http://www.{BLOCKED}rrapate.com/vns/
• http://www.{BLOCKED}en.com/vns/
• http://www.{BLOCKED}icamackay.com/vns/
• http://www.{BLOCKED}assetmanagement.com/vns/
• http://www.{BLOCKED}ntsbd.com/vns/
• http://www.{BLOCKED}furnituremadera.com/vns/
• http://www.{BLOCKED}etesproduce.com/vns/
• http://www.{BLOCKED}lkservice.com/vns/
• http://www.{BLOCKED}isc.com/vns/
• http://www.{BLOCKED}ndigarh.com/vns/
• http://www.{BLOCKED}do.com/vns/
• http://www.{BLOCKED}rofessionalpodcast.com/vns/
• http://www.{BLOCKED}ioamadori.net/vns/
• http://www.{BLOCKED}ing.com/vns/
• http://www.{BLOCKED}edshop2020.com/vns/
• http://www.{BLOCKED}.com/vns/
• http://www.{BLOCKED}tpetproducts.com/vns/
• http://www.{BLOCKED}scollectionn.com/vns/
• http://www.{BLOCKED}latinumva.com/vns/
• http://www.{BLOCKED}ds.com/vns/
• http://www.{BLOCKED}ssentialmiss.com/vns/
• http://www.{BLOCKED}ht.com/vns/
• http://www.{BLOCKED}om/vns/
• http://www.{BLOCKED}ckl.com/vns/
• http://www.{BLOCKED}.com/vns/
• http://www.{BLOCKED}id.com/vns/

Datendiebstahl

Folgende Daten werden gesammelt:

• SID
• Username
• Operating system information
• Clipboard and Keylogged data from the following Targeted Applications:
  • Browsers:
    • 360 Browser
    • Avant
    • Baidu
    • BlackHawk
    • Browzar
    • Canary
    • Chrome
    • Chromium
    • Citrio
    • Comodo Dragon
    • Comodo IceDragon
    • CoolNovo
    • Coowon
    • CyberFox
    • Deepnet
    • Dooble
    • Epic
    • Firefox
    • Internet Explorer
    • Iridium
    • KMeleon
    • Lunascape
    • Maxthon
    • Microsoft Edge
    • Midori
    • Mustang
    • Opera
    • Orbitum
    • PaleMoon
    • QTWeb
    • QupZilla
    • Rambler
    • Safari
    • SafeZone
    • ScriptFTP
    • SeaMonkey
    • Sleipnir
    • Superbird
    • Titan
    • Tor Browser
    • Torch
    • UC Browser
    • Vivaldi
    • Waterfox
    • Yandex
  • Mail Clients:
    • Barca
    • Foxmail
    • GMail
    • Incredimail
    • Microsoft Outlook
    • Mozilla Thunderbird
    • Opera Mail
  • FTP Clients:
    • 3DFTP
    • AbsoluteTelnet
    • ALFTP
    • BitKinex
    • CoreFTP
    • Far File Manager
    • FileZilla
    • FlashFXP
    • Fling FTP
    • LeechFTP
    • NCFTP
    • SmartFTP
    • Total Commander
    • WebDrive
    • WinSCP
  • Instant Messaging (IM) Applications:
    • ICQ Messenger
    • Pidgin
    • Skype
    • Trillian
    • WhatsApp
    • Yahoo Messenger
• Screen Captures

Zeichnet die Tastatureingaben eines Benutzers auf, um Daten zu entwenden.

Andere Details

Beendet sich selbst, falls festgestellt wird, dass die Ausführung in einer virtuellen Umgebung erfolgt.

Es macht Folgendes:

• terminates itself if a loaded module in the running process contains the following strings:
  • \cuckoo\
  • \sandcastle\
  • \aswsnx\
  • \sandbox\
  • \smpdir\
  • \samroot\
  • \avctestsuite\