Analyse von: Anthony Joe Melgarejo   
 Plattform:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Spyware

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Nein

  • In the wild::
    Ja

  Überblick

Infektionsweg: Aus dem Internet heruntergeladen

Umgeht die Windows Firewall. Dadurch kann diese Malware ihre geplante Routine ausführen, ohne von einer installierten Firewall entdeckt zu werden.

Ruft bestimmte Informationen vom betroffenen System ab.

  Technische Details

Dateigröße: 2,861,852 bytes
Dateityp: EXE
Speicherresiden: Nein
Erste Muster erhalten am: 22 Mai 2014
Schadteil: Connects to URLs/IPs

Installation

Schleust die folgenden Dateien ein:

  • %System Root%\users\public\Public Document\aagj.bat - executes %All Users Profile%\Msn\Msn2\mdej.exe and cogj.reg
  • %System Root%\users\public\Public Document\abc.klm - FTP upload configuration
  • %System Root%\users\public\Public Document\stap.vbs - runs decj.bat
  • %System Root%\users\public\Public Document\decj.bat - initialize main routine (see notes for details)
  • %System Root%\users\public\Public Document\bar.zip - archive file (see notes for contents)
  • %System Root%\users\public\Public Document\cogj.reg - registry editor file
  • %System Root%\users\public\Public Document\iej.bat - runs dj.vbs
  • %System Root%\users\public\Public Document\dj.vbs - runs iewj.bat
  • %System Root%\users\public\Public Document\iewj.bat - detected as BAT_PASSTEAL.TY
  • %System Root%\users\public\Public Document\saj.vbs - runs icj.bat
  • %System Root%\users\public\Public Document\icj.bat - detected as BAT_PASSTEAL.TY
  • %System Root%\users\public\Public Document\image.exe - detected as HKTL_SXPASSDUMP
  • %System Root%\users\public\Public Document\images.exe - detected as HKTL_SXPASSDUMP
  • %System Root%\users\public\Public Document\picture viewer.exe - detected as HKTL_SXPASSDUMP
  • %All Users Profile%\Msn\Msn2\aagj.bat - used to execute %All Users Profile%\Msn\Msn2\mdej.exe and cogj.reg
  • %All Users Profile%\Msn\Msn2\abc.klm - FTP upload configuration
  • %All Users Profile%\Msn\Msn2\stap.vbs - runs decj.bat
  • %All Users Profile%\Msn\Msn2\decj.bat - initialize main routine (see notes for details)
  • %All Users Profile%\Msn\Msn2\bar.zip - archive file (see notes for contents)
  • %All Users Profile%\Msn\Msn2\cogj.reg - registry editor file
  • %All Users Profile%\Msn\Msn2\iej.bat - runs dj.vbs
  • %All Users Profile%\Msn\Msn2\dj.vbs - runs iewj.bat
  • %All Users Profile%\Msn\Msn2\iewj.bat - detected as BAT_PASSTEAL.TY
  • %All Users Profile%\Msn\Msn2\saj.vbs - runs icj.bat
  • %All Users Profile%\Msn\Msn2\icj.bat - detected as BAT_PASSTEAL.TY
  • %All Users Profile%\Msn\Msn2\image.exe - detected as HKTL_SXPASSDUMP
  • %All Users Profile%\Msn\Msn2\images.exe - detected as HKTL_SXPASSDUMP
  • %All Users Profile%\Msn\Msn2\picture viewer.exe - detected as HKTL_SXPASSDUMP

Schleust folgende nicht bösartigen Dateien ein:

  • %System Root%\users\public\Public Document\crp.exe - Command Line File Crypter tool
  • %System Root%\users\public\Public Document\mdej.exe - Keep Running tool
  • %System Root%\users\public\Public Document\keeprun.ini - Keep Running tool config file
  • %System Root%\users\public\Public Document\unzip.exe - unzip tool
  • %All Users Profile%\Msn\Msn2\crp.exe - Command Line File Crypter tool
  • %All Users Profile%\Msn\Msn2\mdej.exe - Keep Running tool
  • %All Users Profile%\Msn\Msn2\keeprun.ini - Keep Running tool config file
  • %All Users Profile%\Msn\Msn2\unzip.exe - unzip tool

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

  • %System Root%\users\public\Public Document
  • %All Users Profile%\Msn
  • %All Users Profile%\Msn\Msn2

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
stat = "%All Users Profile%\Msn\Msn2\aagj.bat"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
stat7 = "%System Root%\Users\Public\Public Document\mdej.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
stat2 = "%All Users Profile%\Msn\Msn2\aagj.bat"

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(Note: The default value data of the said registry entry is 1.)

Datendiebstahl

Ruft folgende Informationen vom betroffenen System ab:

  • Email Passwords
  • Stored IE Passwords
  • Web Browser Passwords

Entwendete Daten

Speichert die entwendeten Informationen in der folgenden Datei:

  • %System Root%\users\public\Public Document\001-{date-yyyyddmm}_{time}.033 - retrieved Email passwords
  • %System Root%\users\public\Public Document\001-{date-yyyyddmm}_{time}.034 - retrieved IE passwords
  • %System Root%\users\public\Public Document\001-{date-yyyyddmm}_{time}.035 - retrieved web browser passwords

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Einschleusungspunkte

Lädt Dateien auf die folgenden FTP-Sites hoch:

  • ftp.{BLOCKED}h.com
  • sherrif.{BLOCKED}3.com

Andere Details

Öffnet die folgenden Dateien:

  • %All Users Profile%\Msn\Msn2\pic.pdf - decoy PDF file
  • %System Root%\users\public\Public Document\pic.pdf - decoy PDF file

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

  Lösungen

Mindestversion der Scan Engine: 9.700

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 4

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • stat = "%All Users Profile%\Msn\Msn2\aagj.bat"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • stat7 = "%System Root%\Users\Public\Public Document\mdej.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • stat2 = "%All Users Profile%\Msn\Msn2\aagj.bat"

Step 5

Diesen geänderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • From: EnableFirewall = "0"
      To: EnableFirewall = 1

Step 6

Diese Ordner suchen und löschen

[ learnMore ]
Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.
  • %System Root%\users\public\Public Document
  • %All Users Profile%\Msn

Step 7

Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als TSPY_PASSTEAL.TY entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Nehmen Sie an unserer Umfrage teil