TSPY_DAURSO.SMY

Öffnet ein verborgenes Fenster in Internet Explorer.

Übertragungsdetails

Wird möglicherweise von folgenden Remote-Sites heruntergeladen:

• http://alesolo.ru/new/controller.php?action=bot&entity_list=&first=0&rnd=981633&uid=1&guid=2847846060

Installation

Schleust folgende Komponentendateien ein:

• %System%\drivers\{Random File Name}.sys - detected as RTKT_BUBNIX.A

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• mutex_io

Backdoor-Routine

Öffnet ein verborgenes Fenster in Internet Explorer.

Entwendete Daten

Speichert die entwendeten Informationen in der folgenden Datei:

• %ProgramFiles%\FTP Navigator\ftplist.txt

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• http://95.80.200.134/good/receiver/ftp

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

• This spyware steals sensitive FTP credentials of the following FTP client applications: CoreFTP, Ghisler, GlobalSCAPE, FileZilla, FlashFXP, SmartFTP.
• It also searches for files inside the following user folders to look for saved FTP credentials: %Application Data%GlobalSCAPE, %Application Data%FileZilla, %Application Data%FlashFXP, %Application Data%SmartFTP

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)