Analysé par: Mc Justine De Guzman   

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan Spy

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild:
    Oui

  Overview

Voie d'infection: Lâché par un autre malware, Téléchargé à partir d'Internet

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites. Possibilité d''infiltration par d''autres programmes malveillants.

However, as of this writing, the said sites are inaccessible.

  Détails techniques

File size: 379,904 bytes
File type: DLL
Memory resident: Non
Date de réception des premiers échantillons: 10 septembre 2020
Charge malveillante: Collects system information, Connects to URLs/IPs

Précisions sur l'apparition de l'infection

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Possibilité d''infiltration par le ou les programmes malveillants suivants :

Routine de portes dérobées

However, as of this writing, the said sites are inaccessible.

Routine de téléchargement

Le programme enregistre les fichiers qu''il télécharge en utilisant les noms suivants :

  • %User Temp%\regec.4.{random}.exe

(Remarque : %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000(32-bit), XP et Server 2003(64-bit) et de C:\Users\{nom de l'utilisateur}\AppData\Local\Temp sous Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) et 10(64-bit).)

Vol d'informations

Collecte les données suivantes :

  • Computer Name
  • Username
  • OS Version
  • OS Architecture
  • Running Processes

Informations dérobées

Envoie les informations collectées via HTTP POST à l'URL suivante :

  • http://{BLOCKED}td.com/slen&D={Computer Name}&U={User name}&OS={OS version}&OSA={OS Architecture}&PR={Running Processes}

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 16.224.03
First VSAPI Pattern Release Date: 13 septembre 2020
VSAPI OPR Pattern Version: 16.225.00
VSAPI OPR Pattern Release Date: 14 septembre 2020

Step 2

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 3

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 4

Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant TrojanSpy.Win32.GETLOADR.THIAOBO Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


Participez à notre enquête!