TSPY_BEBLOH.SMJ

Para obtener una visión integral del comportamiento de este Spyware, consulte el diagrama de amenazas que se muestra a continuación.

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Detalles de entrada

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System%\{random name}.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Se introduce en los siguientes procesos que se ejecutan en la memoria del sistema afectado:

• csrss.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
userinit.exe
Debugger = {malware file name}.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
chrome.exe
Debugger = %Program Files%\Internet Explorer\iexplore.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
navigator.exe
Debugger = %Program Files%\Internet Explorer\iexplore.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
opera.exe
Debugger = %Program Files%\Internet Explorer\iexplore.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
safari.exe
Debugger = %Program Files%\Internet Explorer\iexplore.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
mapzone
(Default) = 58,77,e2,41,af,b9,c5,c2,fd,7d,fb,4b,24,83,9b,5c,c1,d0,24,01,62,ea,b6,12,6f,7c,97,43,85,4b,2c,21,00,f2,a0,1c,55,c1,f8,17,aa,90,50,13,ff,5f,a8,0e,54,4e,76,7e,c6,9a,32,2b,9d,a3,80,38,6a,b2,61,9a,86,05,3a,f7,fd,3b,b7,f2,52,0b,0f,ee,a7,da,66,e9,fc,a9,be,e4,51,79,16,e0,a6,24,07,a8,8f,76,b4,be,39,91,33,b1,cb,99,4d,f4,d5,e3,ab,e6,26,30,25,c4,a4,24,7d,bf,f9,f3,d4,ba,4e,c3,2c,b6,a3,92,84,b1,f8,51,f6,ac,4d,60,07,e3,e3,37,cd,e9,b5,8e,af,d1,02,a9,7e,d5,ed,2a,aa,95,f6,3d,eb,90,4b,0d,43,8c,a0,dc,9a,87,f5,ab,f2

Robo de información

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• Deutsche Bank
• Deutsche Postbank AG
• HypoVereinsbank
• Volksbank Emmerich-Rees

Puntos de infiltración

Luego, el archivo citado se envía a la siguiente URL vía HTTP POST:

• {BLOCKED}omde.cn

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

• Manipulates the account page to display no changes in the user's account balance
• Steal money from accounts

Información de variantes

Tiene los siguientes valores hash MD5:

• 27e8351a5b0bea5ef15c6681007fdee5

Tiene los siguientes valores hash SHA1:

• eb684cca887e2ca204bd831be3cd3d512875a0a1