TrojanSpy.Win32.URSNIF.TIABOEBS

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Infiltra los archivos siguientes:

• %User Temp%\{random filename}.bin
• %User Temp%\{random filename}.bin1
• %User Temp%\{random filename}.bi1 - contains the list of computer or network resources
• %Application Data%\Microsoft\{string1}{string2}\{string1}{string2}.lnk
  where:
  {string1} = first four letters of a dll file under System directory
  {string2} = last four letters of a dll file under System directory

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Application Data%\Microsoft\{string1}{string2}\{string1}{string2}.exe
  where:
  {string1} = first four letters of a dll file under System directory
  {string2} = last four letters of a dll file under System directory

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• explorer.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string1}{string2} = "%Application Data%\Microsoft\{string1}{string2}\{string1}{string2}.exe"

Agrega las siguientes líneas o entradas de registro como parte de su rutina:

• HKEY_CURRENT_USER\Software\AppDataLow\Software\Microsoft\{GUID}
  {UID} = "{hex value}"
• HKEY_CURRENT_USER\Software\AppDataLow\Software\Microsoft\{GUID}
  {Value Name} = "{data}"
  where {Value Name} may be any of the following:
  • Main
  • Block
  • Temp
  • Client
  • Ini
  • Keys
  • Scr
  • LastTask
  • LastConfig
  • CrHook
  • OpHook
  • Exec
  • TorClient
  • TorCrc
  • Install
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
  EnableSPDY3_0 = "0"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Vr

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Sfi

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Run

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Config

Robo de información

Recopila los siguientes datos:

• Computer Name
• Digital Certificates
• Cookies
• Keyboard Logs
• Clipboard Logs
• Captured Screenshot
• Email Credentials
• Running processes and services
• Installed device drivers
• Installed Programs
• System Information (Please see notes for more details)
• IP Address
• Credentials from the following:
  
  • Outlook
  • Thunderbird
  • Internet Explorer
• Credentials related to cryptocurrency:
  • electrum-
  • bitcoin
  • multibit-hd
  • bither
  • msigna.
  • Jaxx.
  • JEdudus.
  • armory-
  • veracrypt
  • truecrypt

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• https://{BLOCKED}rsob.com/images/{random path}/{random characters}.{bmp/png}

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• https://{BLOCKED}rsob.com/images/{random path}/{random characters}.{gif/jpeg}