TSPY_BEBLOH.CS

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.

Diese Malware hat keine Verbreitungsroutine.

Diese Malware hat keine Backdoor-Routine.

Ändert Zoneneinstellungen von Internet Explorer.

Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Übertragungsdetails

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\{random string}.exe
  (Note: Creation of this copy is triggered when the affected system is shutting down)

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• Global\Uz{hex values}

Injiziert Code in die folgenden Prozesse:

• explorer.exe

Autostart-Technik

Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random string} = "%Application Data%\{random string}.lnk”
(Note: Creation of this registry entry is triggered when the affected system is shutting down)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\{random key}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\{random key}
{random value} = "{hex values}"

HKEY_CURRENT_USER\Software\{random key}
(Default) = "{hex values}"

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Backdoor-Routine

Diese Malware hat keine Backdoor-Routine.

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %Application Data%\{random string}.lnk <- points to the copy
  (Note: Creation of this file is triggered when the affected system is shutting down, appends parameter "-autorun" to executed copy)

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %User Temp%\specials.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Trend Micro erkennt die heruntergeladene Datei als:

• TSPY_URSNIF.CS

Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• https://{BLOCKED}c1.com/auth/?tver={value}&vcmd={value}&cc={value}&hh={Hex Value}&ipcnf={Ip address}+&sckport={value}&pros={value}&prgid={value}&keret={value};&email=

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• {Random Generated Domain}.com
• {Random Generated Domain}.net
• https://{BLOCKED}c1.com/auth/