TSPY_TRICKLOAD.RZ

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %Application Data%\winapp\{random filename}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• svchost.exe

Erstellt die folgenden Ordner:

• %Application Data%\winapp\Modules\injectDll32_configs
• %Application Data%\winapp
• %Application Data%\winapp\Modules

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Injiziert Code in die folgenden Prozesse:

• Created svchost.exe

Autostart-Technik

Schleust die folgenden Dateien ein:

• %System%\Tasks\services update

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Die zeitgesteuerte Aufgabe führt die Malware in folgenden Intervallen aus:

• minute

Download-Routine

Öffnet die folgenden Websites, um Dateien herunterzuladen:

• http://www.download.{BLOCKED}update.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %Application Data%\winapp\client_id
• %Application Data%\winapp\config.conf
• %Application Data%\winapp\group_tag
• %Application Data%\winapp\Modules\injectDll32
• %Application Data%\winapp\Modules\systeminfo32
• %Application Data%\winapp\Modules\injectDll32_configs\dinj
• %Application Data%\winapp\Modules\injectDll32_configs\dpost
• %Application Data%\winapp\Modules\injectDll32_configs\sinj

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• {BLOCKED}.{BLOCKED}.178.114:443
• {BLOCKED}.{BLOCKED}.178.145:443
• {BLOCKED}.{BLOCKED}.84.2:447
• {BLOCKED}.{BLOCKED}.206.187:443
• {BLOCKED}.{BLOCKED}.82.174:443
• {BLOCKED}.{BLOCKED}.170.155:447
• {BLOCKED}.{BLOCKED}.218.117:443
• {BLOCKED}.{BLOCKED}.161.204:443
• {BLOCKED}.{BLOCKED}.169.106:443
• {BLOCKED}.{BLOCKED}.158.250:443
• {BLOCKED}.{BLOCKED}.30.30:443
• {BLOCKED}.{BLOCKED}.113.75:447
• {BLOCKED}.{BLOCKED}.146.77:443
• {BLOCKED}.{BLOCKED}.201.149:443
• {BLOCKED}.{BLOCKED}.208.202:447
• {BLOCKED}.{BLOCKED}.210.150:443
• {BLOCKED}.{BLOCKED}.114.233:443
• {BLOCKED}.{BLOCKED}.92.199:443
• {BLOCKED}.{BLOCKED}.165.16:443
• {BLOCKED}.{BLOCKED}.165.31:443
• {BLOCKED}.{BLOCKED}.136.55:443
• {BLOCKED}.{BLOCKED}.4.216:447
• {BLOCKED}.{BLOCKED}.68.140:443
• {BLOCKED}.{BLOCKED}.121.250:443
• {BLOCKED}.{BLOCKED}.91.27:443