TSPY_FRIHOS.XTTT

Installation

Schleust die folgenden Dateien ein:

• %All Users Profile%\Msn\Msn2\dj.vbs
• %System Root%\Users\Public\Public Document\dj.vbs
• %System Root%\Users\Public\Public Document\202.lmn
• %All Users Profile%\Msn\Msn2\202.lmn
• %All Users Profile%\Msn\Msn2\keeprun.ini
• %System Root%\Users\Public\Public Document\keeprun.ini
• %All Users Profile%\Msn\Msn2\cogj.reg
• %System Root%\Users\Public\Public Document\cogj.reg
• %All Users Profile%\Msn\Msn2\saj.vbs
• %System Root%\Users\Public\Public Document\saj.vbs
• %All Users Profile%\Msn\Msn2\docs.pdf
• %System Root%\Users\Public\Public Document\docs.pdf
• %All Users Profile%\Msn\Msn2\aagj.bat - used to run %All Users Profile%\Msn\Msn2\AcrobaP.exe (also detected as BAT_STARTU.A)
• %All Users Profile%\Msn\Msn2\icj.bat
• %All Users Profile%\Msn\Msn2\iej.bat
• %All Users Profile%\Msn\Msn2\iewj.bat
• %All Users Profile%\Msn\Msn2\tsbe.vbs
• %All Users Profile%\o3IIr0iSb\PCGWIN32.LI5
• %System Root%\Users\Public\Public Document\aagj.bat - used to run %All Users Profile%\Msn\Msn2\AcrobaP.exe (also detected as BAT_STARTU.A)
• %System Root%\Users\Public\Public Document\adip.klc
• %System Root%\Users\Public\Public Document\icj.bat
• %System Root%\Users\Public\Public Document\iej.bat
• %System Root%\Users\Public\Public Document\iewj.bat
• %System Root%\Users\Public\Public Document\tsbe.vbs

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Schleust die folgenden Dateien ein und führt sie aus:

• %All Users Profile%\Msn\Msn2\AdobeT.exe (HKTL_PWDUMP.GABR)
• %System Root%\Users\Public\Public Document\AdobeT.pdf (HKTL_PWDUMP.GABR)
• %All Users Profile%\Msn\Msn2\AcrobaP.exe (detected as TROJ_TRACKER.XTTT)
• %System Root%\Users\Public\Public Document\AcrobatR.pdf (detected as HKTL_PWDUMP.GAIE)
• %All Users Profile%\Msn\Msn2\AcrobatR.exe (detected as HKTL_PWDUMP.GAIE)
• %System Root%\Users\Public\Public Document\AdobeR.pdf (detected as HKTL_PWDUMP.GAEM)
• %All Users Profile%\Msn\Msn2\AdobeR.exe (detected as HKTL_PWDUMP.GAEM)
• %System Root%\Users\Public\Public Document\AcrobaP.exe (detected as TROJ_TRACKER.HAY)

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

• %All Users Profile%\Msn
• %All Users Profile%\Msn\Msn2
• %All Users Profile%\o3IIr0iSb
• %System Root%\Users\Public\Public Document
• %System Root%\Users (for Windows XP and lower versions)
• %System Root%\Users\public (for Windows XP and lower versions)

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Autostart-Technik

Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
stat = "%All Users Profile%\Msn\Msn2\aagj.bat"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
stat2 = "%All Users Profile%\Msn\Msn2\aagj.bat"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
stat7 = "%System Root%\Users\Public\Public Document\mdej.exe\"

Einschleusungsroutine

Schleust die folgenden Dateien ein, in denen sie ihre gesammelten Daten speichert:

• %System Root%\Users\Public\Public Document\001_201405Fr_135509.036
• %System Root%\Users\Public\Public Document\001_201405Fr_135509.037
• %System Root%\Users\Public\Public Document\001_201405Fr_135509.038
• %System Root%\Users\Public\Public Document\amsn.klc

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Datendiebstahl

Folgende Daten werden gesammelt:

• Host Name
• MAC Address
• IP Address

Einschleusungspunkte

Lädt Dateien auf die folgenden FTP-Sites hoch:

• ftp.{BLOCKED}stia.com