TSPY_FAREIT.YYSUB

Wird möglicherweise von anderer Malware eingeschleust.

Verwendet bestimmte Listen mit Benutzernamen und Kennwörtern, um kennwortgeschützte Freigabedateien zu öffnen.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Übertragungsdetails

Wird möglicherweise von der folgenden Malware eingeschleust:

• W2KM_FAREIT.ALB

Installation

Schleust folgende Komponentendateien ein:

• %User Temp%\{random}.bat - deleted after execution

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\WinRAR
HWID = "{hex values}"

HKEY_CURRENT_USER\Software\WinRAR
Client Hash = "{hex values}"

Download-Routine

Öffnet die folgenden Websites, um Dateien herunterzuladen:

• http://www.{BLOCKED}arden.net/system/logs/task.exe
• http://www.{BLOCKED}a.com/system/logs/task.exe
• http://www.{BLOCKED}ang.com.tw/system/logs/task.exe

Datendiebstahl

Verwendet die folgenden Listen mit Benutzernamen und Kennwörtern, um kennwortgeschützte Freigabedateien zu öffnen:

• danielle
• iloveyou2
• fuckoff
• prince
• junior
• rainbow
• fuckyou1
• nintendo
• peanut
• none
• church
• bubbles
• robert
• destiny
• loving
• gfhjkm
• mylove
• jasper
• hallo
• cocacola
• helpme
• nicole
• guitar
• billgates
• looking
• scooby
• joseph
• genesis
• forum
• emmanuel
• cassie
• victory
• passw0rd
• foobar
• ilovegod
• nathan
• blabla
• digital
• peaches
• football1
• power
• thunder
• gateway
• iloveyou!
• football
• tigger
• corvette
• angel
• killer
• creative
• google
• zxcvbnm
• startrek
• ashley
• cheese
• sunshine
• christ
• soccer
• qwerty1
• friend
• summer
• merlin
• phpbb
• jordan
• saved
• dexter
• viper
• winner
• sparky
• windows
• 123abc
• lucky
• anthony
• jesus
• ghbdtn
• admin
• hotdog
• baseball
• password1
• dragon
• trustno1
• jason
• internet
• mustdie
• john
• letmein
• mike
• knight
• jordan23
• abc123
• red123
• praise
• freedom
• jesus1
• london
• computer
• microsoft
• muffin
• qwert
• mother
• master
• qazwsx
• samuel
• canada
• slayer
• rachel
• onelove
• qwerty
• prayer
• iloveyou1
• whatever
• god
• password
• blessing
• snoopy
• 1q2w3e4r
• cookie
• chelsea
• pokemon
• hahaha
• aaaaaa
• hardcore
• shadow
• welcome
• mustang
• bailey
• blahblah
• matrix
• jessica
• stella
• benjamin
• testing
• secret
• trinity
• richard
• peace
• shalom
• monkey
• iloveyou
• thomas
• blink182
• jasmine
• purple
• test
• angels
• grace
• hello
• poop
• blessed
• heaven
• hunter
• pepper
• john316
• cool
• buster
• andrew
• faith
• ginger
• hockey
• hello1
• angel1
• superman
• enter
• daniel
• forever
• nothing
• dakota
• kitten
• asdf
• banana
• gates
• flower
• taylor
• lovely
• hannah
• princess
• compaq
• jennifer
• myspace1
• smokey
• matthew
• harley
• rotimi
• fuckyou
• soccer1
• single
• joshua
• green
• 123qwe
• starwars
• love
• silver
• austin
• michael
• amanda
• charlie
• bandit
• chris
• happy
• hope
• maggie
• maverick
• online
• spirit
• george
• friends
• dallas
• adidas
• 1q2w3e
• orange
• testtest
• asshole
• apple
• biteme
• william
• mickey
• asdfgh
• wisdom
• batman
• pass

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}ntsin.ru/gate.php
• http://{BLOCKED}adint.ru/gate.php
• http://{BLOCKED}eher.ru/gate.php