TrojanSpy.Win32.TRICKBOT.THBABAI

Stiehlt bestimmte Daten vom System und/oder dem Benutzer.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %Application Data%\SysDefrag\{malware file name}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

• %Application Data%\SysDefrag\settings.ini -> Contains Encrypted Victim Key
• %Application Data%\SysDefrag\Data\importDll32 -> Encrypted module that steals information from Internet Applications
• %Application Data%\SysDefrag\Data\injectDll32 -> Encrypted module that monitors banking-related URLs and/or websites
• %Application Data%\SysDefrag\Data\networkDll32 -> Encrypted module that steals network information
• %Application Data%\SysDefrag\Data\pwgrab32 -> Encrypted module that steals information from Internet Browser Applications, WinSCP, FileZilla, and Microsoft Outlook
• %Application Data%\SysDefrag\Data\systeminfo32 -> -> Encrypted module that steals information regarding the infected machine
• %Application Data%\SysDefrag\Data\injectDll32_configs\dinj -> Encrypted list of banking-related URLs and/or websites to monitor
• %Application Data%\SysDefrag\Data\injectDll32_configs\dpost -> Encrypted list of C&C servers that will receive the HTTP response to and from the monitored URLs and/or websites
• %Application Data%\SysDefrag\Data\injectDll32_configs\sinj -> Encrypted list of banking-related URLs and/or websites to phish
• %Application Data%\SysDefrag\Data\networkDll32_configs\dpost -> Encrypted list of C&C servers that will receive the stolen network information
• %Application Data%\SysDefrag\Data\pwgrab32_configs\dpost -> Encrypted list of C&C servers that will receive the credentials
• %Application Data%\SysDefrag\Data\psfin32_configs\dpost -> Encrypted module that identifies Point-Of-Sale systems within the network

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• powershell Set-MpPreference -DisableRealtimeMonitoring $true
• /c sc stop WinDefend
• /c sc delete WinDefend

Erstellt die folgenden Ordner:

• %Application Data%\SysDefrag
• %Application Data%\SysDefrag\Data

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Datendiebstahl

Stiehlt folgende Daten:

• OS information (Architecture, Caption, CSDVersion)
• CPU Information (Name)
• Memory Information
• User Accounts
• Installed Programs
• Installed Services
• IP Configuration
• Network Information (Configuration, Users, Domain Settings)
• Email addresses
• Credentials in the following Applications:
  
  • Microsoft Outlook
  • Filezilla
  • WinSCP
• Internet Credentials (Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox):
  
  • Usernames and Passwords
  • Internet Cookies
  • Browsing History
  • Autofills
  • HTTP Posts responses
• Information regarding Point-Of-Sale (POS) systems in the network, by querying accounts or user name containing the following string:
  
  • *POS*
  • *REG*
  • *CASH*
  • *LANE*
  • *STORE*
  • *RETAIL*
  • *BOH*
  • *ALOHA*
  • *MICROS*
  • *TERM*

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://{BLOCKED}.{BLOCKED}.81.60:443/getinj/accounts
• http://{BLOCKED}.{BLOCKED}.81.60:443/getinj/aggregator
• http://{BLOCKED}.{BLOCKED}.184.74/abc.php
• http://{BLOCKED}.{BLOCKED}.211.48/response.php
• https://{BLOCKED}.{BLOCKED}.211.48:446/response.php?s={value}&id={id}
• https://{BLOCKED}.{BLOCKED}.211.48:446/response/getq.php?s={value}&id={id}
• https://{BLOCKED}.{BLOCKED}.211.48:446/response/rcrd.php?s={value}
• http://{BLOCKED}.{BLOCKED}.112.216:8082
• http://{BLOCKED}.{BLOCKED}.253.146:8082
• http://{BLOCKED}.{BLOCKED}.85.124:8082
• http://{BLOCKED}.{BLOCKED}.253.146:8082
• http://{BLOCKED}.{BLOCKED}.107.114:8082
• http://{BLOCKED}.{BLOCKED}.156.218:80
• http://{BLOCKED}.{BLOCKED}.51.30:80
• http://{BLOCKED}.{BLOCKED}.93.114:80
• http://{BLOCKED}.{BLOCKED}.127.198:80
• http://{BLOCKED}.{BLOCKED}.125.162:80
• http://{BLOCKED}.{BLOCKED}.152.173:443
• http://{BLOCKED}.{BLOCKED}.216.228:443
• http://{BLOCKED}.{BLOCKED}.99.242:443
• http://{BLOCKED}.{BLOCKED}.218.46:443
• http://{BLOCKED}.{BLOCKED}.132.141:443
• http://{BLOCKED}.{BLOCKED}.149.26:443
• {BLOCKED}.{BLOCKED}.184.74:80
• {BLOCKED}.{BLOCKED}.83.111:443