TSPY_RSTEALER.C

Cifra los archivos de registro que contienen la información que recopila.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

• %Application Data%\IntelRapidStart\DelphiNative.dll - detected as TSPY_RSTEALER.B
• %Application Data%\IntelRapidStart\RapidStartTech.stl
• %Application Data%\IntelRapidStart\IntelRS.exe.config
• %User Temp%\IXP000.TMP\IntelRapidStart.exe.config - deleted afterwards

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Infiltra y ejecuta los archivos siguientes:

• %Application Data%\IntelRapidStart\IntelRS.exe - detected as TSPY_RSTEALER.B
• %Application Data%\IntelRapidStart\AppTransferWiz.dll - detected as TSPY_RSTEALER.B
• %User Temp%\IXP000.TMP\IntelRapidStart.exe - deleted afterwards, detected as TSPY_RAPIDSTL.SM

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Este malware infiltra los siguientes archivos no maliciosos:

• %User Profile%\PUTTY.RND
• %Application Data%\IntelRapidStart\u1303.exe - UltraSurf Application
  
  
• %User Temp%\help.htm - UltraSurf User's Guide
  

Crea las carpetas siguientes:

• %User Temp%\utmp
• %Application Data%\InterRapidStart
• %Application Data%\IntelRapidStart\ume
• %User Temp%\IXP000.TMP

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Robo de información

Recopila los siguientes datos:

• System Information and Data:
  • Computer Name
  • Computer Username
  • Computer Timezone
  • Languages Installed
  • Open Ports
  • Installed Applications
  • Running Process
  • Remote Desktop Accounts
  • Internal IP Addresses
  • Public IP Addresses
  • Keylogs
  • Screenshot
  • Clipboard Data
• Web Browser Information (Google Chrome, Firefox, Internet Explorer, Opera):
  • Bookmarks
  • Cookies
  • Histories
  • Store Passwords
  • Proxies
• Instant Messenger Information (Gtalk, Pidgin, Skype, Yahoo Messenger):
  • Username
  • Password

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• %Application Data%\IntelRapidStart\ume\Log_{Computer Name}_{Date}_{Time}.Enc
• %Application Data%\IntelRapidStart\ume\Img_{Computer Name}_{Date}_{Time}.Enc
• %Application Data%\IntelRapidStart\ume\Pass_{Computer Name}_{Date}_{Time}.Enc
• %Application Data%\IntelRapidStart\ume\Messenger_{Computer Name}_{Date}_{Time}.Enc
• %Application Data%\IntelRapidStart\ume\SysInfo_{Computer Name}_{Date}_{Time}.Enc
• %Application Data%\IntelRapidStart\ume\Browser_{Computer Name}_{Date}_{Time}.Enc
• %Application Data%\IntelRapidStart\ume\Prx_{Computer Name}_{Date}_{Time}.Enc

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• windows.{BLOCKED}mirror.com:21
• {BLOCKED}.{BLOCKED}.227.197:21

Otros detalles

Cifra los archivos de registro que contienen la información que recopila.