分(fēn)析者: Carl Maverick Pascual   
 :

Trojan.Win32.Mansabo.boq (Kaspersky) ; Trojan:Win32/MereTam.A (Microsoft)

 平台:

Windows

 总體(tǐ)风险等级:
 潜在破坏:
 潜在分(fēn)布:
 感染次数:
 系统影响:
 信息暴露:

  • 恶意软件类型:
    Trojan Spy

  • 有(yǒu)破坏性?:
    没有(yǒu)

  • 加密?:
    是的

  • In the Wild:
    是的

  概要

感染途徑: 在所有(yǒu)可(kě)用(yòng)的逻辑驱动器中(zhōng)复制自身, 通过共享驱动器传播

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

  技(jì )术详细信息

文(wén)件大小(xiǎo): 544,768 bytes
报告日期: EXE
内存驻留: 是的
初始樣本接收日期: 2018年11月13日
Payload: 连接到 URL/Ip, 窃取信息

新(xīn)病毒详细信息

它以電(diàn)子邮件消息附件的形式出现,而此垃圾邮件由其他(tā)恶意软件/灰色软件/间谍软件或恶意用(yòng)户发送。

安(ān)装(zhuāng)

它在受感染的系统中(zhōng)植入下列自身副本:

  • %Application Data%\WINYS\{malware file name}.exe
  • %System Root%\mswvc.exe
  • %System%\mswvc.exe

(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT)、C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000(32-bit)、XP 和 Server 2003(32-bit)) 和 C:\Users\{user name}\AppData\Roaming (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit))。

(注意: %System Root% 是根文(wén)件夹,通常位于 C:\。它也是操作(zuò)系统所在的位置。. %System% 是 Windows 的 system 文(wén)件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows 2000(32-bit)、XP、Server 2003(32-bit)、Vista、7、8、8.1、2008(64-bit),2012(64bit) 和 10(64-bit))。)

它植入下列文(wén)件:

  • %Application Data%\WINYS\settings.ini -> Contains Encrypted Victim Key
  • %Application Data%\WINYS\Data\importDll32 -> Encrypted module that steals information from Internet Applications
  • %Application Data%\WINYS\Data\injectDll32 -> Encrypted module that monitors banking-related URLs and/or websites
  • %Application Data%\WINYS\Data\mailsearcher32 -> Encrypted module that steals email from files in the infected machine
  • %Application Data%\WINYS\Data\networkDll32 -> Encrypted module that steals network information
  • %Application Data%\WINYS\Data\pwgrab32 -> Encrypted module that steals information from Internet Browser Applications, WinSCP, FileZilla, and Microsoft Outlook
  • %Application Data%\WINYS\Data\systeminfo32 -> -> Encrypted module that steals information regarding the infected machine
  • %Application Data%\WINYS\Data\tabDll32 -> Encrypted module that provides the propagation of the malware
  • %Application Data%\WINYS\Data\shareDll32 -> Encrypted module that provides propagation via SMB
  • %Application Data%\WINYS\Data\wormDll32 -> Encrypted module that provides propagation via SMB
  • %Application Data%\WINYS\Data\injectDll32_configs\dinj -> Encrypted list of banking-related URLs and/or websites to monitor
  • %Application Data%\WINYS\Data\injectDll32_configs\dpost -> Encrypted list of C&C servers that will receive the HTTP response to and from the monitored URLs and/or websites
  • %Application Data%\WINYS\Data\injectDll32_configs\sinj -> Encrypted list of banking-related URLs and/or websites to phish
  • %Application Data%\WINYS\Data\mailsearcher32_configs\mailconf -> Encrypted list of C&C servers that will receive the stolen email addresses
  • %Application Data%\WINYS\Data\networkDll32_configs\dpost -> Encrypted list of C&C servers that will receive the stolen network information
  • %Application Data%\WINYS\Data\pwgrab32_configs\dpost -> Encrypted list of C&C servers that will receive the credentials
  • %Application Data%\WINYS\Data\psfin32 -> Encrypted module that identifies Point-Of-Sale systems within the network

(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT)、C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000(32-bit)、XP 和 Server 2003(32-bit)) 和 C:\Users\{user name}\AppData\Roaming (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit))。)

它创建下列文(wén)件夹:

  • %Application Data%\WINYS
  • %Application Data%\WINYS\Data

(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT)、C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000(32-bit)、XP 和 Server 2003(32-bit)) 和 C:\Users\{user name}\AppData\Roaming (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit))。)

自启动技(jì )术

它會新(xīn)增並執行下列服務:

  • Service Name: {random letters}
    • ImagePath: %System Root%\mswvc.exe or %System%\mswvc.exe
    • DisplayName: Can be either of the following:
      • ServiceTechno4
      • Service_Techno4
      • Technics-service3
      • TechnoServices3
      • Advanced-TechnicService0
      • ServiceTechno6
      • NewServiceTech3
      • Techserver6

(注意: %System% 是 Windows 的 system 文(wén)件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows 2000(32-bit)、XP、Server 2003(32-bit)、Vista、7、8、8.1、2008(64-bit),2012(64bit) 和 10(64-bit))。)

信息窃取

它会窃取以下信息:

  • Information regarding Point-Of-Sale (POS) systems in the network, by querying accounts or user name containing the following string:
    • *POS*
    • *REG*
    • *CASH*
    • *LANE*
    • *STORE*
    • *RETAIL*
    • *BOH*
    • *ALOHA*
    • *MICROS*
    • *TERM*
  • OS information (Architecture, Caption, CSDVersion)
  • CPU Information (Name)
  • Memory Information
  • User Accounts
  • Installed Programs
  • Installed Services
  • IP Configuration
  • Network Information (Configuration, Users, Domain Settings)
  • Email addresses
  • Credentials in the following Applications:
    • Microsoft Outlook
    • Filezilla
    • WinSCP
  • Internet Credentials (Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox):
    • Usernames and Passwords
    • Internet Cookies
    • Browsing History
    • Autofills
    • HTTP Posts responses

其他(tā)详细信息

它连接到下列网站,发送和接收信息:

  • https://{BLOCKED}.{BLOCKED}.85.215:446
  • http://{BLOCKED}.{BLOCKED}.181.125:8082
  • http://{BLOCKED}.{BLOCKED}.167.72:8082
  • http://{BLOCKED}.{BLOCKED}.252.178:8082
  • http://{BLOCKED}.{BLOCKED}.100.152:8082
  • http://{BLOCKED}.{BLOCKED}.87.38:8082
  • http://{BLOCKED}.{BLOCKED}.128.34:80
  • http://{BLOCKED}.{BLOCKED}.69.68:80
  • http://{BLOCKED}.{BLOCKED}.181.1:80
  • http://{BLOCKED}.{BLOCKED}.184.101:80
  • http://{BLOCKED}.{BLOCKED}.103.74:80
  • http://{BLOCKED}.{BLOCKED}.138.220:443
  • http://{BLOCKED}.{BLOCKED}.252.204:443
  • http://{BLOCKED}.{BLOCKED}.250.156:443
  • http://{BLOCKED}.{BLOCKED}.65.26:443
  • http://{BLOCKED}.{BLOCKED}.135.241:443
  • {BLOCKED}.{BLOCKED}.149.175:443
  • {BLOCKED}.{BLOCKED}.186.151
  • {BLOCKED}.{BLOCKED}.138.170:443

  解决方案

最小(xiǎo)扫描引擎: 9.850
First VSAPI Pattern File: 14.626.03
VSAPI 第一样式发布日期: 2018年11月14日
VSAPI OPR样式版本: 14.627.00
VSAPI OPR样式发布日期: 2018年11月15日

Step 1

对于Windows ME和XP用(yòng)户,在扫描前,请确认已禁用(yòng)系统还原功能(néng),才可(kě)全面扫描计算机。

Step 2

请注意,在执行此恶意软件/间谍软件/灰色软件期间,并非所有(yǒu)文(wén)件、文(wén)件夹、注册表项和条目都安(ān)装(zhuāng)在您的计算机上。这可(kě)能(néng)是由于安(ān)装(zhuāng)不完整或其他(tā)操作(zuò)系统条件造成的。如果找不到相同的文(wén)件/文(wén)件夹/注册表信息,请继续下一步。

Step 3

若要删除此恶意软件/灰色软件/间谍软件创建的随机服務(wù)键值,请执行下列步骤:

  1. 使用(yòng)亚信安(ān)全产(chǎn)品扫描您的计算机,然后记录检测到的恶意软件/灰色软件/间谍软件的名(míng)称。
  2. 打开注册表编辑器。要执行此操作(zuò),请单击“开始”>“运行”,在提供的文(wén)本框中(zhōng)输入 regedit,然后按 Enter。
  3. 按 CTRL+F。
  4. 在“查找”对话框中(zhōng),输入先前检测到的恶意软件的文(wén)件名(míng)。
    (注意: 请确保仅选中(zhōng)数据复选框,然后单击“查找下一个”。)

    5. find.

  5. 找到后,在右侧面板中(zhōng),检查结果是否為(wèi)下列值-数据对:
    ImagePath = {Malware/Grayware/Spyware path and file name}
  6. 如果是,则在左侧面板中(zhōng),找到数据所在的服務(wù)。
  7. 在左侧面板中(zhōng)右键单击找到的服務(wù),然后选择“删除”。
  8. 重复第 2 步到第 6 步,直至出现“注册表搜索完毕”对话框。
  9. 关闭注册表编辑器。

Step 4

Deleting Scheduled Tasks

The following {Task Name} - {Task to be run} listed should be used in the steps identified below:  

  • Sysnetsf - %Application Data%\WINYS\{malware file name}.exe

For Windows 2000, Windows XP, and Windows Server 2003:

  1. Open the Windows Scheduled Tasks. Click Start>Programs>Accessories>
    System Tools>Scheduled Tasks.
  2. Locate each {Task Name} values listed above in the Name column.
  3. Right-click on the said file(s) with the aforementioned value.
  4. Click on Properties. In the Run field, check for the listed {Task to be run}.
  5. If the strings match the list above, delete the task.

For Windows Vista, Windows 7, Windows Server 2008, Windows 8, Windows 8.1, and Windows Server 2012:

  1. Open the Windows Task Scheduler. To do this:
    • On Windows Vista, Windows 7, and Windows Server 2008, click Start, type taskschd.msc in the Search input field, then press Enter.
    • On Windows 8, Windows 8.1, and Windows Server 2012, right-click on the lower left corner of the screen, click Run, type taskschd.msc, then press Enter.
  2. In the left panel, click Task Scheduler Library.
  3. In the upper-middle panel, locate each {Task Name} values listed above in the Name column.
  4. In the lower-middle panel, click the Actions tab. In the Details column, check for the {Task to be run} string.
  5. If the said string is found, delete the task.

Step 5

搜索和删除这一文(wén)件夹

[ 更多(duō) ]
请确认在高级选项中(zhōng)已选中(zhōng)搜索隐藏文(wén)件和文(wén)件夹复选框,使查找结果包括所有(yǒu)隐藏文(wén)件夹。;
  • %Application Data%\WINYS
然后回車(chē)确认。
  • 一旦找到,请选择文(wén)件夹,然后按下SHIFT+DELETE彻底删除文(wén)件夹。

    • Step 6

    重启进入正常模式,使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机,检测TrojanSpy.Win32.TRICKBOT.AK文(wén)件 如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离,则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。