TrojanSpy.Win32.EMOTET.THEHAI

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Se conecta a determinados sitios Web para enviar y recibir información. Este malware se elimina tras la ejecución.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• With Admin rights:
  • %System%\{String1}{String2}.exe
• Without Admin rights:
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe
• {String1} and {String2} can be any of the following strings:
  • rel
  • tables
  • glue
  • impl
  • texure
  • related
  • key
  • nis
  • langs
  • iprop
  • exec
  • wrap
  • matrix
  • dump
  • phoenix
  • ribbon
  • sorting
  • pinned
  • lics
  • bit
  • unpack
  • adt
  • rep
  • jobs
  • acl
  • title
  • sound
  • events
  • targets
  • scrn
  • mheg
  • lines
  • prompt
  • adjust
  • xian
  • ser
  • cycle
  • redist
  • its
  • boxes
  • dma
  • small
  • cloud
  • flow
  • guid
  • def
  • whole
  • parent
  • bears
  • random
  • bulk
  • idebug
  • viewer
  • starta
  • comment
  • sel
  • source
  • hotspot
  • pnf
  • portal
  • sitka
  • iell
  • slide
  • typ
  • sonic

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Agrega los procesos siguientes:

• {Malware Path}\{Malware File Name}.exe --{8 random characters}
• With Admin rights:
  • %System%\{String1}{String2}.exe
  • %System%\{String1}{String2}.exe--{8 random characters}
• Without Admin rights:
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe --{8 random characters}

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Crea las carpetas siguientes:

• Without Admin rights:
  • %AppDataLocal%\{String1}{String2}

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• Global\I{Volume Serial Number}
• Global\M{Volume Serial Number}

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{String1}{String2}
ImagePath = %System%\{String1}{String2}.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{String1}{String2}
ImagePath = %System%\{String1}{String2}.exe

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{String1}{String2} = %AppDataLocal%\{String1}{String2}\{String1]{String2}.exe"

Robo de información

Recopila los siguientes datos:

• Computer Name
• System Locale
• OS Version
• Running Processes

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• {BLOCKED}.{BLOCKED}.43.213/{Strings}
• {BLOCKED}.{BLOCKED}.200.114/{Strings}
• {BLOCKED}.{BLOCKED}.35.140/{Strings}
• {BLOCKED}.{BLOCKED}.215.66/{Strings}
• {BLOCKED}.{BLOCKED}.139.101/{Strings}
• {BLOCKED}.{BLOCKED}.35.122/{Strings}
• {BLOCKED}.{BLOCKED}.59.244/{Strings}
• {BLOCKED}.{BLOCKED}.10.111/{Strings}
• {BLOCKED}.{BLOCKED}.155.238/{Strings}
• {BLOCKED}.{BLOCKED}.5.109/{Strings}
• {BLOCKED}.{BLOCKED}.187.118/{Strings}
• {BLOCKED}.{BLOCKED}.253.112/{Strings}
• {BLOCKED}.{BLOCKED}.149.55/{Strings}
• {BLOCKED}.{BLOCKED}.19.145/{Strings}
• {BLOCKED}.{BLOCKED}.17.7/{Strings}
• {BLOCKED}.{BLOCKED}.225.150/{Strings}
• {BLOCKED}.{BLOCKED}.187.192/{Strings}
• {BLOCKED}.{BLOCKED}.168.7/{Strings}
• {BLOCKED}.{BLOCKED}.211.99/{Strings}
• {BLOCKED}.{BLOCKED}.0.160/{Strings}
• {BLOCKED}.{BLOCKED}.180.172/{Strings}
• {BLOCKED}.{BLOCKED}.147.179/{Strings}
• {BLOCKED}.{BLOCKED}.49.124/{Strings}
• {BLOCKED}.{BLOCKED}.156.10/{Strings}
• {BLOCKED}.{BLOCKED}.3.54/{Strings}
• {BLOCKED}.{BLOCKED}.106.160/{Strings}
• {BLOCKED}.{BLOCKED}.166.152/{Strings}
• {BLOCKED}.{BLOCKED}.71.72/{Strings}
• {BLOCKED}.{BLOCKED}.100.202/{Strings}
• {BLOCKED}.{BLOCKED}.52.255/{Strings}
• {BLOCKED}.{BLOCKED}.69.115/{Strings}
• {BLOCKED}.{BLOCKED}.18.37/{Strings}
• {BLOCKED}.{BLOCKED}.106.137/{Strings}
• {BLOCKED}.{BLOCKED}.228.47/{Strings}
• {BLOCKED}.{BLOCKED}.195.208/{Strings}
• {BLOCKED}.{BLOCKED}.38.31/{Strings}
• {BLOCKED}.{BLOCKED}.234.27/{Strings}
• {BLOCKED}.{BLOCKED}.110.170/{Strings}
• {BLOCKED}.{BLOCKED}.87.75/{Strings}
• {BLOCKED}.{BLOCKED}.161.166/{Strings}
• {BLOCKED}.{BLOCKED}.37.188/{Strings}
• {BLOCKED}.{BLOCKED}.108.144/{Strings}
• {BLOCKED}.{BLOCKED}.173.71/{Strings}
• {BLOCKED}.{BLOCKED}.138.82/{Strings}
• {BLOCKED}.{BLOCKED}.130.148/{Strings}
• {BLOCKED}.{BLOCKED}.210.191/{Strings}
• {BLOCKED}.{BLOCKED}.125.212/{Strings}
• {BLOCKED}.{BLOCKED}.130.149/{Strings}
• {BLOCKED}.{BLOCKED}.56.242/{Strings}
• {BLOCKED}.{BLOCKED}.210.39/{Strings}
• {BLOCKED}.{BLOCKED}.9.18/{Strings}
• {BLOCKED}.{BLOCKED}.140.110/{Strings}
• {BLOCKED}.{BLOCKED}.117.85/{Strings}
• {BLOCKED}.{BLOCKED}.42.93/{Strings}
• {BLOCKED}.{BLOCKED}.37.192/{Strings}
• Strings can be any of the following:
  • teapot
  • pnp
  • tpt
  • splash
  • site
  • codec
  • health
  • balloon
  • cab
  • odbc
  • badge
  • dma
  • psec
  • cookies
  • iplk
  • devices
  • enable
  • mult
  • prov
  • vermont
  • attrib
  • schema
  • iab
  • chunk
  • publish
  • prep
  • srvc
  • sess
  • ringin
  • nsip
  • stubs
  • img
  • add
  • xian
  • jit
  • free
  • pdf
  • loadan
  • arizona
  • tlb
  • forced
  • results
  • symbols
  • report
  • guids
  • taskbar
  • child
  • cone
  • glitch
  • entries
  • between
  • bml
  • usbccid
  • sym
  • enabled
  • merge
  • window
  • scripts
  • raster
  • acquire
  • json
  • rtm
  • walk
  • ban

Hace lo siguiente:

• It deletes previous versions of itself in the system:
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}
  • %System%\{String1}{String2}.exe
• Based on the following strings:
  • not
  • ripple
  • svcs
  • serv
  • wab
  • shader
  • single
  • without
  • wcs
  • define
  • eap
  • culture
  • slide
  • zip
  • tmpl
  • mini
  • polic
  • panes
  • earcon
  • menus
  • detect
  • form
  • uuidgen
  • pnp
  • admin
  • tuip
  • avatar
  • started
  • dasmrc
  • alaska
  • guids
  • wfp
  • adam
  • wgx
  • lime
  • indexer
  • repl
  • dev
  • mapi
  • resw
  • daf
  • diag
  • iss
  • vsc
  • turned
  • neutral
  • sat
  • source
  • enroll
  • mfidl
  • idl
  • based
  • right
  • cbs
  • radar
  • avg
  • wordpad
  • metagen
  • mouse
  • iprop
  • mdmmcd
  • jersey
  • thunk
  • subs
• It will create a startup service if it has admin privileges, otherwise it will only create an autorun entry in the registry.

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Este malware se elimina tras la ejecución.