SYMBOS_EXY.A
Information Stealer, Malicious Downloader
Symbian OS
Type de grayware:
Spyware
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.
Détails techniques
Übertragungsdetails
Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Autostart-Technik
Schleust die folgenden Dateien ein:
- C:\sys\bin\Installer_SV.exe
- C:\sys\bin\LanPackage.exe
- C:\private\101f875a\import\[20028B98].rsc
Download-Routine
Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.
Andere Details
Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:
- Creates the semaphore,EConServerSemaphore_0x20028B98 to ensure that only one instance of itself is running in memory.
- Creates the temporary files: C:\system\data\Local_Para.txt,C:\system\data\Remote_Para.txt,C:\system\data\NotPure.txt,C:\system\data\SisInfo.cfg and C:\system\data\Source.ini
- Gathers information such as phone type, IMEI number, and IMSI number
- It has the following certificate: Issued by Symbian CA I. Subject: Beijing GuoShengMingDao Technology Co. Ltd Issued to LanPackage_5 2.0.0. Valid from 24/08/2009 to 25/08/2019. Issued by VeriSign Testing-Based ACS Root for Symbian OS. Issued to Symbian Limited. Valid from 14/03/2007 to 27/08/2023.
- Silently installs an updated variant by visiting the website, http://{BLOCKED}y.com/Kernel.jsp?Version=2.0&PhoneType={phone type}&PhoneImei={IMEI num}&PhomeImsi={IMSI num}&Source={other parameter}
- Saves and executes the downloaded file as C:\private\20028B98\kel.sisx, which is detected as SYMBOS_YXES.D
- Accesses the website, http://{BLOCKED}y.com/KernelPara.jsp?Version=2.0&PhoneType={phone type}&PhoneImei={IMEI num}&PhomeImsi={IMSI num}&Source={other parameter} to download an encrypted data which is saved as C:\system\data\Kernel_Para.txt.
- Propagates by sending SMS messages with a link to a copy of itself to the list of numbers collected from the phone's contact list.
- Sends the gathered information to the server, http://{BLOCKED}y.com/Jump.jsp?Version=2.0&PhoneType={phone type}&PhoneImei={IMEI num}&PhomeImsi={IMSI num}&Source={other parameter}. The server then replies with a redirection to the website, http://{BLOCKED}pie.com.
- Terminates the following processes if found running in the affected system's memory: AppMngr, TaskSpy, Y-Tasks, ActiveFile, and TaskMan.
Solutions
Step 1
TREND MICRO MOBILE SECURITY LÖSUNG
Die integrierte Lösung von Trend Micro für mobile Geräte bietet automatische Virensuche in Echtzeit zum Schutz von Wireless-Geräten vor Internet- oder Datei-basiertem bösartigem Code oder Viren.
Laden Sie die neueste Trend Micro Sicherheitslösung von dieser Website herunter.
Step 2
Diese Dateien suchen und löschen
- C:\sys\bin\Installer_SV.exe
- C:\sys\bin\LanPackage.exe
- C:\private\101f875a\import\[20028B98].rsc
Step 3
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als SYMBOS_EXY.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participez à notre enquête!