TrojanSpy.MSIL.NEGASTEAL.DYSHPF

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %User Startup%\{malware name}.exe

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT, C:\Documents and Settings\{Benutzername}\Startmenü\Programme\Autostart unter Windows 2003(32-bit), XP und 2000(32-bit) und C:\Users\{Benutzername}\AppData\Roaming\Microsoft\Windows\Startmenü\Programme\Autostart unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• "%System%\WindowsPowerShell\v1.0\powershell.exe" Add-MpPreference -ExclusionPath %User Startup%\{malware name}.exe" -Force
• timeout 4

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT, C:\Documents and Settings\{Benutzername}\Startmenü\Programme\Autostart unter Windows 2003(32-bit), XP und 2000(32-bit) und C:\Users\{Benutzername}\AppData\Roaming\Microsoft\Windows\Startmenü\Programme\Autostart unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Backdoor-Routine

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

• http://{BLOCKED}in.com:443

Datendiebstahl

Folgende Daten werden gesammelt:

• Processor Information
• UserName
• ComputerName
• OS Information
• CPU Information
• IP Address
• Amount of memory
• MAC Address
• Motherboard Information
• Credentials from:
  • 360 Browser
  • 7star Browser
  • Amigo
  • Apple Application
  • Becky!
  • BlackHawk
  • Brave
  • Cent
  • Chedot
  • Chrome Plus
  • Chromium
  • Citrio
  • ClawsMail
  • CocCoc
  • Comodo Dragon
  • Cool Novo
  • Coowon
  • CoreFTP
  • CyberFox
  • DynDNS
  • Elements
  • Epic Privacy
  • Eudora
  • Falkon
  • FileZilla
  • Firefox
  • FlashFXP
  • Flock
  • Foxmail
  • FTP Navigator
  • FTPCommander
  • FTPGetter
  • HTTP
  • IceCat
  • IceDragon
  • IMAP
  • IncrediMail
  • Internet Download Manager
  • Ipswitch
  • Iridium
  • jDownloader
  • K-Meleon
  • Kometa
  • Liebao
  • MailBird
  • Microsoft Edge
  • Microsoft Outlook
  • MySQL
  • NordVPN
  • Novo
  • OpenVPN
  • Opera Browser
  • Opera Mail
  • Orbitum
  • PaleMoon
  • Paltalk
  • Pidgin
  • Pocomail
  • POP3
  • Postbox
  • Psi/Psi+
  • QIP Surf
  • QQ Browser
  • RealVNC
  • RimArts
  • Safari
  • Sea Monkey
  • Sleipnir 6
  • SmartFTP
  • SMTP
  • Sputnik
  • sqlite
  • SRWare Iron
  • Tencent
  • The Bat!
  • Thunderbird
  • TigerVNC
  • TightVNC
  • Torch
  • Trillian
  • UCBrowser
  • uCozMedia
  • UltraVNC
  • Uran
  • Vitalwerks
  • Vivaldi
  • WaterFox
  • Web Credentials
  • Windows Credential Picker Protector
  • Windows Credentials
  • Windows Domain Certificate Credential
  • Windows Domain Password Credential
  • Windows Extended Credential
  • Windows Secure Note
  • Windows Web Password Credential
  • WinSCP
  • WinSCP 2
  • WinVNC
  • WS_FTP
  • Yandex