TrojanSpy.Win32.NOON.TIOIBEDQ

Installation

Schleust eine Kopie von sich selbst in folgende Ordner ein, wobei verschiedene Dateinamen verwendet werden:

• %Program Files%\{random name 1}\{random name 2}.exe
• %User Temp%\{random name 1}\{random name 2}.exe

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt die folgenden Prozesse hinzu:

• {Malware filepath}\{Malware filename}

Erstellt die folgenden Ordner:

• %Program Files%\{random name 1}
• %User Temp%\{random name 1}
• %Application Data%\{random name 1}

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Injiziert Threads in die folgenden normalen Prozesse:

• explorer.exe

Injiziert Code in die folgenden Prozesse:

• {Malware filepath}\{Malware filename} (The process added by the malware)

Datendiebstahl

Folgende Daten werden gesammelt:

• Keystrokes
• User's SID
• Operating system version
• Operating system architecture
• Username
• Clipboard content

Entwendete Daten

Speichert die entwendeten Informationen in der folgenden Datei:

• %Application Data%\{random characters}\{random characters}log.ini – Keystrokes
• %Application Data%\{random characters}\{random characters}logrg.ini - Google passwords
• %Application Data%\{random characters}\{random characters}logim.jpeg - Screenshot
• %Application Data%\{random characters}\{random characters}logrv.ini - Windows Vault passwords
• %Application Data%\{random characters}\{random characters}logri.ini - Internet Explorer passwords
• %Application Data%\{random characters}\{random characters}logrf.ini - Firefox passwords
• %Application Data%\{random characters}\{random characters}logrt.ini - Thunderbird passwords
• %Application Data%\{random characters}\{random characters}logrc.ini - Outlook passwords
• %Application Data%\{random characters}\{random characters}logcl.ini - Clipboard content
• %Application Data%\{random characters}\{random characters}logro.ini - Opera passwords

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT, C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• http://www.{BLOCKED}n.net/kc/
• http://www.{BLOCKED}cgreco.com/kc/
• http://www.{BLOCKED}eenstatetowing.online/kc/
• http://www.{BLOCKED}-naked.com/kc/
• http://www.{BLOCKED}cz.com/kc/
• http://www.{BLOCKED}z.com/kc/
• http://www.{BLOCKED}ymedia.com/kc/
• http://www.{BLOCKED}productions.com/kc/
• http://www.{BLOCKED}breakingnews.com/kc/