TROJ_HDROP.AAB

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

• http://{BLOCKED}c.{BLOCKED}kura.ne.jp:80/mt/php/0.css
• http://{BLOCKED}off.net:80/mt/php/0.css
• http://{BLOCKED}iya.co.kr:80/bbs/imgFd/0.css
• http://{BLOCKED}b.{BLOCKED}ura.ne.jp:80/menu/0.css

Guarda los archivos que descarga con los nombres siguientes:

• {common path of Hanggul Word Processor}\0.css
  • such as %System Root%\HNC\Hwp70\0.css

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Robo de información

Recopila los siguientes datos:

• Processor Information
• List of documents (.hwp, .doc, .docx, .xls, .xlsx)
• List of running services
• IP configuration
• Environment Variable values
  • ALLUSERSPROFILE
  • APPDATA
  • CLIENTNAME
  • CommonProgramFiles
  • COMPUTERNAME
  • ComSpec
  • FP_NO_HOST_CHECK
  • HOMEDRIVE
  • HOMEPATH
  • J2D_D3D
  • LOGONSERVER
  • NUMBER_OF_PROCESSOR
  • OS
  • Path
  • PATHEXT
  • PROCESSOR_ARCHITECT
  • PROCESSOR_IDENTIFIE
  • PROCESSOR_LEVEL
  • PROCESSOR_REVISION
  • ProgramFiles
  • PROMPT
  • SESSIONNAME
  • SystemDrive
  • SystemRoot
  • TEMP
  • TMP
  • USERDOMAIN
  • USERNAME
  • USERPROFILE
  • windir

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• {common path of Hanggul Word Processor}\0.gif
  • such as %System Root%\HNC\Hwp70\0.gif

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED}-c.{BLOCKED}ura.ne.jp:80/mt/php/mt2.php
• http://{BLOCKED}off.net:80/mt/php/lib/function.mbbstring.php
• http://{BLOCKED}riya.co.kr:80/bbs/imgFd/m1.php
• http://{BLOCKED}cb.{BLOCKED}ura.ne.jp:80/menu/a_9.php