分(fēn)析者: Noel Anthony Llimos   
 :

Trojan.Win32.Mansabo.boq (Kaspersky) ; Trojan:Win32/MereTam.A (Microsoft)

 平台:

Windows

 总體(tǐ)风险等级:
 潜在破坏:
 潜在分(fēn)布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Trojan Spy

  • 有(yǒu)破坏性?:
    没有(yǒu)

  • 加密?:
    是的

  • In the Wild:
    是的

  概要

感染途徑: 在所有(yǒu)可(kě)用(yòng)的逻辑驱动器中(zhōng)复制自身, 通过共享驱动器传播

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

  技(jì )术详细信息

文(wén)件大小(xiǎo): 331,776 bytes
报告日期: EXE
内存驻留: 是的
初始樣本接收日期: 2018年11月7日
Payload: 连接到 URL/Ip, 窃取信息, 终止进程

新(xīn)病毒详细信息

它以電(diàn)子邮件消息附件的形式出现,而此垃圾邮件由其他(tā)恶意软件/灰色软件/间谍软件或恶意用(yòng)户发送。

安(ān)装(zhuāng)

它在受感染的系统中(zhōng)植入下列自身副本:

  • %Application Data%\WINYS\{malware file name}.exe
  • %System Root%\mswvc.exe
  • %System%\mswvc.exe

(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。

(注意: %System Root% 是根文(wén)件夹,通常位于 C:\。它也是操作(zuò)系统所在的位置。. %System% 是 Windows 的 system 文(wén)件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。)

它植入下列文(wén)件:

  • %Application Data%\WINYS\settings.ini -> Contains Encrypted Victim Key
  • %Application Data%\WINYS\Data\importDll32 -> Encrypted module that steals information from Internet Applications
  • %Application Data%\WINYS\Data\injectDll32 -> Encrypted module that monitors banking-related URLs and/or websites
  • %Application Data%\WINYS\Data\mailsearcher32 -> Encrypted module that steals email from files in the infected machine
  • %Application Data%\WINYS\Data\networkDll32 -> Encrypted module that steals network information
  • %Application Data%\WINYS\Data\pwgrab32 -> Encrypted module that steals information from Internet Browser Applications, WinSCP, FileZilla, and Microsoft Outlook
  • %Application Data%\WINYS\Data\systeminfo32 -> -> Encrypted module that steals information regarding the infected machine
  • %Application Data%\WINYS\Data\tabDll32 -> Encrypted module that provides the propagation of the malware
  • %Application Data%\WINYS\Data\shareDll32 -> Encrypted module that provides propagation via SMB
  • %Application Data%\WINYS\Data\wormDll32 -> Encrypted module that provides propagation via SMB
  • %Application Data%\WINYS\Data\injectDll32_configs\dinj -> Encrypted list of banking-related URLs and/or websites to monitor
  • %Application Data%\WINYS\Data\injectDll32_configs\dpost -> Encrypted list of C&C servers that will receive the HTTP response to and from the monitored URLs and/or websites
  • %Application Data%\WINYS\Data\injectDll32_configs\sinj -> Encrypted list of banking-related URLs and/or websites to phish
  • %Application Data%\WINYS\Data\mailsearcher32_configs\mailconf -> Encrypted list of C&C servers that will receive the stolen email addresses
  • %Application Data%\WINYS\Data\networkDll32_configs\dpost -> Encrypted list of C&C servers that will receive the stolen network information
  • %Application Data%\WINYS\Data\pwgrab32_configs\dpost -> Encrypted list of C&C servers that will receive the credentials
  • %Application Data%\WINYS\Data\psfin32 -> Encrypted module that identifies Point-Of-Sale systems within the network

(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

它创建下列文(wén)件夹:

  • %Application Data%\WINYS
  • %Application Data%\WINYS\Data

(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

自启动技(jì )术

它會新(xīn)增並執行下列服務:

  • Service Name: {random letters}
    • ImagePath: %System Root%\mswvc.exe or %System%\mswvc.exe
    • DisplayName: Can be either of the following:
      • ServiceTechno4
      • Service_Techno4
      • Technics-service3
      • TechnoServices3
      • Advanced-TechnicService0
      • ServiceTechno6
      • NewServiceTech3
      • Techserver6

(注意: %System% 是 Windows 的 system 文(wén)件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。)

后门例程

它连接到下列网站,发送和接收信息:

  • {BLOCKED}.{BLOCKED}.233.82:449
  • {BLOCKED}.{BLOCKED}.129.8:449
  • {BLOCKED}.{BLOCKED}.62.43:449
  • {BLOCKED}.{BLOCKED}.91.177:443
  • {BLOCKED}.{BLOCKED}.39.94:443
  • {BLOCKED}.{BLOCKED}.101.25:443
  • {BLOCKED}.{BLOCKED}.141.255:449
  • {BLOCKED}.{BLOCKED}.39.47:443
  • {BLOCKED}.{BLOCKED}.160.33:449
  • {BLOCKED}.{BLOCKED}.241.133:449
  • {BLOCKED}.{BLOCKED}.54.187:449
  • {BLOCKED}.{BLOCKED}.181.226:449
  • {BLOCKED}.{BLOCKED}.69.70:449
  • {BLOCKED}.{BLOCKED}.218.246:443
  • {BLOCKED}.{BLOCKED}.91.118:449
  • {BLOCKED}.{BLOCKED}.69.70:449
  • {BLOCKED}.{BLOCKED}.173.10:443
  • {BLOCKED}.{BLOCKED}.124.41:449
  • {BLOCKED}.{BLOCKED}.5.113:449
  • {BLOCKED}.{BLOCKED}.171.234:449
  • {BLOCKED}.{BLOCKED}.20.66:449
  • {BLOCKED}.{BLOCKED}.97.179:449
  • {BLOCKED}.{BLOCKED}.182.112:449
  • {BLOCKED}.{BLOCKED}.122.246:443
  • {BLOCKED}.{BLOCKED}.126.250:449
  • {BLOCKED}.{BLOCKED}.161.184:449
  • {BLOCKED}.{BLOCKED}.50.85:443
  • {BLOCKED}.{BLOCKED}.20.113:443
  • {BLOCKED}.{BLOCKED}.74.84:449
  • {BLOCKED}.{BLOCKED}.168.50:443
  • {BLOCKED}.{BLOCKED}.159.129:449
  • {BLOCKED}.{BLOCKED}.222.4:449
  • {BLOCKED}.{BLOCKED}.221.65:447
  • {BLOCKED}.{BLOCKED}.38.59:447
  • {BLOCKED}.{BLOCKED}.204.66:447
  • {BLOCKED}.{BLOCKED}.37.87:447

信息窃取

它会窃取以下信息:

  • OS information (Architecture, Caption, CSDVersion)
  • CPU Information (Name)
  • Memory Information
  • User Accounts
  • Installed Programs
  • Installed Services
  • IP Configuration
  • Network Information (Configuration, Users, Domain Settings)
  • Email addresses
  • Credentials in the following Applications:
    • Microsoft Outlook
    • Filezilla
    • WinSCP
  • Internet Credentials (Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox):
    • Usernames and Passwords
    • Internet Cookies
    • Browsing History
    • Autofills
    • HTTP Posts responses
  • Information regarding Point-Of-Sale (POS) systems in the network, by querying accounts or user name containing the following string:
    • *POS*
    • *REG*
    • *CASH*
    • *LANE*
    • *STORE*
    • *RETAIL*
    • *BOH*
    • *ALOHA*
    • *MICROS*
    • *TERM*

  解决方案

最小(xiǎo)扫描引擎: 9.850
First VSAPI Pattern File: 14.628.03
VSAPI 第一样式发布日期: 2018年11月15日
VSAPI OPR样式版本: 14.629.00
VSAPI OPR样式发布日期: 2018年11月16日

Step 1

对于Windows ME和XP用(yòng)户,在扫描前,请确认已禁用(yòng)系统还原功能(néng),才可(kě)全面扫描计算机。

Step 3

若要删除此恶意软件/灰色软件/间谍软件创建的随机服務(wù)键值,请执行下列步骤:

  1. 使用(yòng)亚信安(ān)全产(chǎn)品扫描您的计算机,然后记录检测到的恶意软件/灰色软件/间谍软件的名(míng)称。
  2. 打开注册表编辑器。要执行此操作(zuò),请单击“开始”>“运行”,在提供的文(wén)本框中(zhōng)输入 regedit,然后按 Enter。
  3. 按 CTRL+F。
  4. 在“查找”对话框中(zhōng),输入先前检测到的恶意软件的文(wén)件名(míng)。
    (注意: 请确保仅选中(zhōng)数据复选框,然后单击“查找下一个”。)

    5. find.

  5. 找到后,在右侧面板中(zhōng),检查结果是否為(wèi)下列值-数据对:
    ImagePath = {Malware/Grayware/Spyware path and file name}
  6. 如果是,则在左侧面板中(zhōng),找到数据所在的服務(wù)。
  7. 在左侧面板中(zhōng)右键单击找到的服務(wù),然后选择“删除”。
  8. 重复第 2 步到第 6 步,直至出现“注册表搜索完毕”对话框。
  9. 关闭注册表编辑器。

Step 5

搜索和删除这一文(wén)件夹

[ 更多(duō) ]
请确认在高级选项中(zhōng)已选中(zhōng)搜索隐藏文(wén)件和文(wén)件夹复选框,使查找结果包括所有(yǒu)隐藏文(wén)件夹。;
  • %Application Data%\WINYS
然后回車(chē)确认。
  • 一旦找到,请选择文(wén)件夹,然后按下SHIFT+DELETE彻底删除文(wén)件夹。

    • Step 6

    重启进入正常模式,使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机,检测TrojanSpy.Win32.TRICKBOT.AL文(wén)件 如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离,则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。

    Step 7

    使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机,并删除检测到的TrojanSpy.Win32.TRICKBOT.AL文(wén)件 如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离,则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。