TSPY_ROVNIX.YPOB

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

安(ān)装(zhuāng)

它使用(yòng)不同的文(wén)件名(míng)在下列文(wén)件夹中(zhōng)植入自身的副本：

• "%Application Data%\BackUp{Volume ID}.exe"

(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

它植入下列文(wén)件/组件：

• "%User Temp%\NTFS.sys"
• "%User Temp%\tmp{3 Random Numbers}.tmp.exe"
• "%System%\BOOT.dat"

(注意: %User Temp% 是当前用(yòng)户的 Temp 文(wén)件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。. %System% 是 Windows 的 system 文(wén)件夹，通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。)

它添加下列互斥条目，确保一次只会运行一个副本：

• "Global\INSNTFS{Volume ID}"
• "Global\UACNTFS{Volume ID}"
• "Global\BDNTFS{Volume ID}"

自启动技(jì )术

它會新(xīn)增並執行下列服務：

• %User Temp%\NTFS.sys
  Service Name: "BS{Volume ID}"

(注意: %User Temp% 是当前用(yòng)户的 Temp 文(wén)件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

它修改下列注册表项，确保在系统每次启动时自行执行：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
BackUp{Volume ID} = "%Application Data%\BackUp2326257383.exe"

其他(tā)系统修改

它添加下列注册表项：

HKEY_CURRENT_USER\Software\Sysinternals\
C
EulaAccepted = 1

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\B2326257383
LP = "%User temp%\L2326257383"

HKEY_USERS\.DEFAULT\Software\
Sysinternals\C
EulaAccepted = 1

它修改下列注册表键值:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
RSA{Volume ID} = "%System%\rundll32.exe "%Application Data%\Microsoft\Crypto\RSA\RSA{Volume ID}.dll",DllInitialize

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Disk Defragmenter = "%System%\rundll32.exe "%Application Data%\defragsvc.dll",DllInitialize"

进程终止

它终止在受感染的系统内存中(zhōng)运行的下列进程：

• iexplore.exe

Web浏览器主页(yè)和搜索页(yè)面修改

它修改 Internet Explorer 區(qū)域设置。

下载例程

它访问下列网站下载文(wén)件：

• http://{BLOCKED}ebabanahujtr.org/53648768.zip

它使用(yòng)下列文(wén)件名(míng)保存下载的文(wén)件：

• "%Application Data%\Microsoft\Crypto\RSA\RSA{Volume ID}.dll"
• "%Application Data%\defragsvc.dll"

(注意: %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

亚信安(ān)全将下载的文(wén)件检测為(wèi):

• TROJ_ROVNIX.YPOD

它然后执行已下载的文(wén)件。结果，已下载文(wén)件的恶意例程将呈现在受感染的系统中(zhōng)。

信息窃取

它收集下列数据:

• Information on the Volume Protection/Encryption:
  • Bitlocker
  • TrueCrypt
  • VeraCrypt
• Windows Version
• SID Sub Authority and its Count
• User Account and SIDs
• NTFS Information
• Native System Information
• Product Information
• OS Architecture (x86/x64)
• Volume Information
• List of Running Process
• File Version Info of Processes Listed
• File Description of Processes Listed
• Company Name of Processes Listed
• Product Version of Processes Listed
• Product Name of Processes Listed
• File Time of "%System%\win32k.sys"
• Information on AV Related Process Running with the following Strings
  • "agnitum"
  • "alwilsoftware"
  • "pctools"
  • "grisoft"
  • "aviragmbh"
  • "aviraproduct"
  • "avirafreeantivirus"
  • "bitdefender"
  • "avginternetsecurity"
  • "comodo"
  • "doctorweb"
  • "eset,spol"
  • "esetsmart"
  • "frisksoftware"
  • "kaspersky"
  • "pandasoftware"
  • "symanteccorporation"
  • "checkpointsoftware"
  • "microsoftsecurity"
  • "microsoftmalware"
  • "mcafee"
  • "bullguard"
  • "novashieldinc"
  • "cjscreturnilsoftware"
  • "sophosplc"
  • "quickhealtechnologies"
  • "gdatasoftware"
  • "beijingrising"
  • "immunetcorporation"
  • "k7computing"
  • "sunbeltsoftware"
  • "beijingjiangmin"
  • "usbdisksecurity"
  • "deepfreeze"
  • "virus"
  • "malware"
  • "rootkit"
  • "rapport"
• Logs of its successful routines
• PID of process running the malware (Child and/or Parent)
• Current Directory of the Malware

(注意: %System% 是 Windows 的 system 文(wén)件夹，通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。)

窃取信息

它将窃取的信息保存在下列文(wén)件中(zhōng)：

• "%User Temp%\L(Volume ID)"
• "%User Temp%\tmp{4 alphanumeric characters}.tmp"

(注意: %User Temp% 是当前用(yòng)户的 Temp 文(wén)件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

它通过 HTTP POST 将收集的信息发送到下列 URL：

• http://{BLOCKED}ebabanahujtr.org/cgi-bin/150915/post.cgi