Modifié par: : Emilio Marcel Garcia

 

Trojan:Win32/Gozi.MR!MTB (MICROSOFT); HEUR:Trojan-Banker.Win32.Gozi.pef (KASPERSKY)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan Spy

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild:
    Oui

  Overview

Voie d'infection: Téléchargé à partir d'Internet, Lâché par un autre malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Détails techniques

File size: 722,169 bytes
File type: EXE
Memory resident: Non
Date de réception des premiers échantillons: 15 avril 2020
Charge malveillante: Connects to URLs/IPs, Steals information

Précisions sur l'apparition de l'infection

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Ajoute les processus suivants :

  • %Windows%\sysWOW64\wbem\wmiprvse.exe -secured -Embedding
  • "%System Root%\Program Files\Internet Explorer\iexplore.exe" -Embedding

(Remarque : %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.

(Remarque :%System Root% est le dossier racine, généralement C:\. Il s'agit également de l'emplacement dans lequel se trouve le système d'exploitation.)

Ajoute les algorithmes Mutex suivants afin d''éviter que plusieurs de ses duplicats ne s''exécutent simultanément :

  • Local\{GUID}

Autres modifications du système

Ajoute les entrées de registre suivantes :

HKEY_USERS\{User SID}\Software\
Microsoft\Internet Explorer\Main
IE10RunOnceLastShown = 1

HKEY_USERS\{User SID}\Software\
Microsoft\Internet Explorer\Main
IE10RunOnceLastShown_TIMESTAMP = {binary data}

HKEY_USERS\{User SID}\Software\
Microsoft\Internet Explorer\Main
IE8RunOnceLastShown = 1

HKEY_USERS\{User SID}\Software\
Microsoft\Internet Explorer\Main
IE8RunOnceLastShown_TIMESTAMP = {binary data}

HKEY_USERS\{User SID}\Software\
Microsoft\Internet Explorer\Main
Check_Associations = "no"

Vol d'informations

Collecte les données suivantes :

  • OS Type
  • OS Version
  • User Name
  • Computer Name
  • System Uptime
  • Machine GUID

Informations dérobées

Envoie les informations collectées via HTTP POST à l'URL suivante :

  • https://{BLOCKED}cos.xyz/index.htm

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 15.807.00
First VSAPI Pattern Release Date: 15 avril 2020
VSAPI OPR Pattern Version: 15.807.00
VSAPI OPR Pattern Release Date: 15 avril 2020

Step 2

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 3

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 4

Redémarrage en mode sans échec

[ suite ]

Step 5

Supprimer cette clé de registre

[ suite ]

Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.

  • In HKEY_USERS\{User SID}\Software\Microsoft\Internet Explorer\Main
    • Check_Associations = "no"

Step 6

Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant TrojanSpy.Win32.URSNIF.THDAEBO Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


Participez à notre enquête!