TrojanSpy.Win32.FORMBOOK.DE

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Este malware no tiene ninguna rutina de propagación.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. Se conecta a un sitio Web para enviar y recibir información.

Registra las pulsaciones de teclas de un usuario para robar información.

Se finaliza a sí misma si detecta que está siendo ejecutada en un entorno virtual.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Agrega las carpetas siguientes:

• %AppDataLocal%\VirtualDirectoryPlayerGUI
• %Application Data%\{Random characters} → contains logs with gathered data

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Program Files%\{Random characters}\{Random characters}.exe

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

Infiltra los archivos siguientes:

• %AppDataLocal%\VirtualDirectoryPlayerGUI\VirtualDirectoryPlayer.exe
  • detected as TrojanSpy.Win32.FORMBOOK.DE
• %AppDataLocal%\VirtualDirectoryPlayerGUI\libexiv3.dll → decrypts VirtualDirectoryPlayer.exe
  • detected as TrojanSpy.Win32.FORMBOOK.DE
• %AppDataLocal%\VirtualDirectoryPlayerGUI\configuration.xml → loaded into libexiv3.dll

Este malware infiltra los siguientes archivos no maliciosos:

• %AppDataLocal%\VirtualDirectoryPlayerGUI\libnspr4.dll
• %AppDataLocal%\VirtualDirectoryPlayerGUI\libsasl2-3.dll
• %AppDataLocal%\VirtualDirectoryPlayerGUI\libwebp-fb2k.dll
• %AppDataLocal%\VirtualDirectoryPlayerGUI\license.txt
• %AppDataLocal%\VirtualDirectoryPlayerGUI\shared.dll
• %AppDataLocal%\VirtualDirectoryPlayerGUI\zlib1.dll
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\auth.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\error.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\info.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\mail.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\question.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\auth.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\cool.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\dialog.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\error.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\info.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\mail.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\question.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\warning.png
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\auth.svg
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\cool.svg
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\dialog.svg
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\error.svg
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\info.svg
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\question.svg
• %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\warning.svg

Agrega los procesos siguientes:

• %AppDataLocal%\VirtualDirectoryPlayerGUI\VirtualDirectoryPlayer.exe
• %System%\cmd.exe /c del {Dropped malicious executable}

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• explorer.exe → communicates with C2 Server
• Any of the following legitimate Windows Application (spawned by hijacked explorer.exe):
  • audiodg.exe
  • autochk.exe
  • autoconv.exe
  • autofmt.exe
  • chkdsk.exe
  • cmd.exe.
  • cmmon32.exe
  • cmstp.exe
  • colorcpl.exe
  • control.exe
  • cscript.exe
  • dwm.exe
  • explorer.exe
  • help.exe
  • ipconfig.exe
  • lsass.exe
  • lsm.exe
  • msdt.exe
  • msg.exe
  • msiexec.exe
  • mstsc.exe
  • NAPSTAT.EXE
  • nbtstat.exe
  • netsh.exe
  • NETSTAT.EXE
  • raserver.exe
  • rdpclip.exe
  • rundll32.exe
  • services.exe
  • spoolsv.exe
  • svchost.exe
  • systray.exe
  • taskhost.exe
  • wininit.exe
  • wlanext.exe
  • wscript.exe
  • wuapp.exe
  • wuauclt.exe
  • WWAHost.exe
• Targeted Applications

Termina su ejecución cuando encuentra los siguientes procesos en la memoria del sistema afectado:

• vmwareuser.exe
• vmwareservice.exe
• vboxservice.exe
• vboxtray.exe
• sandboxiedcomlaunch.exe
• sandboxierpcss.exe
• procmon.exe
• filemon.exe
• wireshark.exe
• netmon.exe
• prl_tools_service.exe
• prl_tools.exe
• prl_cc.exe
• SharedIntApp.exe
• vmtoolsd.exe
• vmsrvc.exe
• vmusrvc.exe
• python.exe
• perl.exe
• regmon.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Random Characters} = %Program Files%\{Random}\{Random}.exe

Propagación

Este malware no tiene ninguna rutina de propagación.

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Download and execute a file
• Update Self
• Uninstall Self
• Execute Arbitrary Commands
• Clear cookies
• Reboot System
• Shutdown System
• Send gathered data to C2 Server

Se conecta a los sitios Web siguientes para enviar y recibir información:

• http://www.{BLOCKED}ding.net/vns/
• http://www.{BLOCKED}dhousedesigns.design/vns/
• http://www.{BLOCKED}eatsgamingclan.com/vns/
• http://www.{BLOCKED}erbsindia.com/vns/
• http://www.{BLOCKED}clnicadelvnculo-gvbi.com/vns/
• http://www.{BLOCKED}thalmica.com/vns/
• http://www.{BLOCKED}cia.com/vns/
• http://www.{BLOCKED}i.site/vns/
• http://www.{BLOCKED}lpardis.com/vns/
• http://www.{BLOCKED}portal.com/vns/
• http://www.{BLOCKED}sbroider.com/vns/
• http://www.{BLOCKED}rchids.com/vns/
• http://www.{BLOCKED}art.net/vns/
• http://www.{BLOCKED}ayresidency.com/vns/
• http://www.{BLOCKED}eint.com/vns/
• http://www.{BLOCKED}edmagic.com/vns/
• http://www.{BLOCKED}pressworld.com/vns/
• http://www.{BLOCKED}sresolve.com/vns/
• http://www.{BLOCKED}rsotocheckup-5fcc.com/vns/
• http://www.{BLOCKED}rrapate.com/vns/
• http://www.{BLOCKED}en.com/vns/
• http://www.{BLOCKED}icamackay.com/vns/
• http://www.{BLOCKED}assetmanagement.com/vns/
• http://www.{BLOCKED}ntsbd.com/vns/
• http://www.{BLOCKED}furnituremadera.com/vns/
• http://www.{BLOCKED}etesproduce.com/vns/
• http://www.{BLOCKED}lkservice.com/vns/
• http://www.{BLOCKED}isc.com/vns/
• http://www.{BLOCKED}ndigarh.com/vns/
• http://www.{BLOCKED}do.com/vns/
• http://www.{BLOCKED}rofessionalpodcast.com/vns/
• http://www.{BLOCKED}ioamadori.net/vns/
• http://www.{BLOCKED}ing.com/vns/
• http://www.{BLOCKED}edshop2020.com/vns/
• http://www.{BLOCKED}.com/vns/
• http://www.{BLOCKED}tpetproducts.com/vns/
• http://www.{BLOCKED}scollectionn.com/vns/
• http://www.{BLOCKED}latinumva.com/vns/
• http://www.{BLOCKED}ds.com/vns/
• http://www.{BLOCKED}ssentialmiss.com/vns/
• http://www.{BLOCKED}ht.com/vns/
• http://www.{BLOCKED}om/vns/
• http://www.{BLOCKED}ckl.com/vns/
• http://www.{BLOCKED}.com/vns/
• http://www.{BLOCKED}id.com/vns/

Robo de información

Recopila los siguientes datos:

• SID
• Username
• Operating system information
• Clipboard and Keylogged data from the following Targeted Applications:
  • Browsers:
    • 360 Browser
    • Avant
    • Baidu
    • BlackHawk
    • Browzar
    • Canary
    • Chrome
    • Chromium
    • Citrio
    • Comodo Dragon
    • Comodo IceDragon
    • CoolNovo
    • Coowon
    • CyberFox
    • Deepnet
    • Dooble
    • Epic
    • Firefox
    • Internet Explorer
    • Iridium
    • KMeleon
    • Lunascape
    • Maxthon
    • Microsoft Edge
    • Midori
    • Mustang
    • Opera
    • Orbitum
    • PaleMoon
    • QTWeb
    • QupZilla
    • Rambler
    • Safari
    • SafeZone
    • ScriptFTP
    • SeaMonkey
    • Sleipnir
    • Superbird
    • Titan
    • Tor Browser
    • Torch
    • UC Browser
    • Vivaldi
    • Waterfox
    • Yandex
  • Mail Clients:
    • Barca
    • Foxmail
    • GMail
    • Incredimail
    • Microsoft Outlook
    • Mozilla Thunderbird
    • Opera Mail
  • FTP Clients:
    • 3DFTP
    • AbsoluteTelnet
    • ALFTP
    • BitKinex
    • CoreFTP
    • Far File Manager
    • FileZilla
    • FlashFXP
    • Fling FTP
    • LeechFTP
    • NCFTP
    • SmartFTP
    • Total Commander
    • WebDrive
    • WinSCP
  • Instant Messaging (IM) Applications:
    • ICQ Messenger
    • Pidgin
    • Skype
    • Trillian
    • WhatsApp
    • Yahoo Messenger
• Screen Captures

Registra las pulsaciones de teclas de un usuario para robar información.

Otros detalles

Se finaliza a sí misma si detecta que está siendo ejecutada en un entorno virtual.

Hace lo siguiente:

• terminates itself if a loaded module in the running process contains the following strings:
  • \cuckoo\
  • \sandcastle\
  • \aswsnx\
  • \sandbox\
  • \smpdir\
  • \samroot\
  • \avctestsuite\