TrojanSpy.Win32.GRANDOREIRO.MLMC

Data de publicação: 14 novembro 2023

Analisado por: Raighen Sanchez

Plataforma:

Windows

Classificao do risco total:

Potencial de dano:

Potencial de distribuição:

infecção relatada:

Exposição das informações:

Baixo

Medium

Alto

Crítico

Tipo de grayware:
Trojan Spy
Destrutivo:
Não
Criptografado:
In the Wild:
Sim

Visão geral

Canal de infecção: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Detalhes técnicos

Carga útil: Connects to URLs/IPs, Steals information, Collects system information

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

%ProgramData%\QLVGJVA2K31qlvghfre_287.xml
{malware filepath}\tenaqberveb.cfg

Beendet sich selbst, wenn die folgenden Prozesse im Speicher des betroffenen Systems gefunden werden:

regmon.exe
procmon.exe
filemon.exe
Wireshark.exe
procexp.exe
ProcessHacker.exe
PCHunter32.exe
JoeTrace.exe
ResourceHacker.exe

Datendiebstahl

Folgende Daten werden gesammelt:

Username
System Information
OS Name and Version
Hostname
Geolocation
IP Address
List of Installed Applications
List of Installed Antivirus

Andere Details

Es macht Folgendes:

It compares the OS Name of the affected system before proceeding to its original routine to the following:
- Windows XP
- Windows Vista
- Windows 7
- Windows 8
- Windows 10
- Windows 11
It compares the Hostname of the affected system before proceeding to its original routine to the following:
- WIN-VUA6POUV5UP
- Win-StephyPC3
- difusor
- DESTOP2457
- JOHN-PC
- WORK
It compares its execution path to check for analysis tools:
- D:\programming
- D:\script
It compares the country code of the affected system before proceeding to its original routine to the following targeted countries:
- BZ - Belize
- CR - Costa Rica
- GT - Guatemala
- HN - Honduras
- MX - Mexico
- NI - Nicaragua
- PA - Panama
- SV - El Salvador
- AR - Argentina
- BO - Bolivia
- BR - Brazil
- CL - Chile
- CO - Colombia
- EC - Ecuador
- PE - Peru
- UY - Uruguay
- AG - Antigua and Barbuda
- BB - Barbados
- BS - Bahamas
- DO - Dominican Republic
- HT - Haiti
- JM - Jamaica
- PR - Puerto Rico
- CU - Cuba
- CW - Curacao
- BE - Belgium
- CH - Switzerland
- DK - Denmark
- IT - Italy
- PL - Poland
- PT - Portugal
- FR - France
- ES - Spain
- IE - Ireland

It uses Domain Genaration Algorithm (DGA) to generate its C2 Server.

It has keylogging capabilities.

It steals information from the following applications if found in the affected system:

Microsoft Outlook
Software\Clients\Mail

ACB Carribean
Alliance Bank
Allied Bank
Atlantic Bank
Banco BISA
Banco Unión
Banco de Crédito
Banco Nacional
Banco Económico
Banco Ganadero
BNamericas
Banco Los Andes
Banco Mercantil
Banca por Internet
BMSC
BancoSol
Bank of Valletta
BBVA
Belize Bank
Butterfield Group
Caja de Ahorros
Choice Bank
CIBC
CIBC First Carribean
Citibank
Credit Suisse
Davivienda
Doral Bank
e-Bandes
e-Bisa
FIMBank
HRCU Online Account
HSBC Malta
IIG Bank
Inicio
LAFISE
MEXC Exchange
Orco Bank
Provincia Casa Financiera
Raiffeisen-Gruppe
Republic Bank
RepublicOnline Corporate
Santander
Scotia Bank
Synchrony Bank
UBS E-Banking

Fortex

Armory
Atomic Wallet
Binance
Bisq
Bitbox
Bither
Blockstream
BTC-CORE
Coinomi
Daedalus
Electrum
Hotbit Global
Ledger
Monero
OPOLODesk
Trezor
Trust Wallet
WasabiWallet

Solução

Mecanismo de varredura mínima: 9.800

Primeiro arquivo padrão VSAPI: 18.768.05

Data do lançamento do primeiro padrão VSAPI: 20 outubro 2023

VSAPI OPR Pattern Version: 18.769.00

VSAPI OPR Pattern veröffentlicht am: 21 outubro 2023

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>

Step 3

Diese Datei suchen und löschen

[ Saber mais ]

Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.

C:\ProgramData\QLVGJVA2K31qlvghfre_287.xml
{malware filepath}\tenaqberveb.cfg

Step 4

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TrojanSpy.Win32.GRANDOREIRO.MLMC entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Participe da nossa pesquisa!

TrojanSpy.Win32.GRANDOREIRO.MLMC

Visão geral

Detalhes técnicos

Solução

Recursos

Suporte

Sobre a Trend

Country Headquarters

TrojanSpy.Win32.GRANDOREIRO.MLMC

Visão geral

Detalhes técnicos

Solução

Recursos

Suporte

Sobre a Trend

Country Headquarters

Américas

Oriente Médio & África

Europa

Ásia&Pacífico