分析者: Noel Anthony Llimos   
 :

Trojan.Win32.Mansabo.boq (Kaspersky) ; Trojan:Win32/MereTam.A (Microsoft)

 平台:

Windows

 总体风险等级:
 潜在破坏:
 潜在分布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Trojan Spy

  • 有破坏性?:
    没有

  • 加密?:
    是的

  • In the Wild:
    是的

  概要

感染途徑: 在所有可用的逻辑驱动器中复制自身, 通过共享驱动器传播

它以电子邮件消息附件的形式出现,而此垃圾邮件由其他恶意软件/灰色软件/间谍软件或恶意用户发送。

它连接到网站,发送和接收信息。

它会从系统和/或用户窃取特定信息。

  技术详细信息

文件大小: 331,776 bytes
报告日期: EXE
内存驻留: 是的
初始樣本接收日期: 2018年11月7日
Payload: 连接到 URL/Ip, 窃取信息, 终止进程

新病毒详细信息

它以电子邮件消息附件的形式出现,而此垃圾邮件由其他恶意软件/灰色软件/间谍软件或恶意用户发送。

安装

它在受感染的系统中植入下列自身副本:

  • %Application Data%\WINYS\{malware file name}.exe
  • %System Root%\mswvc.exe
  • %System%\mswvc.exe

(注意: %Application Data% 是当前用户的 Application Data 文件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。

(注意: %System Root% 是根文件夹,通常位于 C:\。它也是操作系统所在的位置。. %System% 是 Windows 的 system 文件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。)

它植入下列文件:

  • %Application Data%\WINYS\settings.ini -> Contains Encrypted Victim Key
  • %Application Data%\WINYS\Data\importDll32 -> Encrypted module that steals information from Internet Applications
  • %Application Data%\WINYS\Data\injectDll32 -> Encrypted module that monitors banking-related URLs and/or websites
  • %Application Data%\WINYS\Data\mailsearcher32 -> Encrypted module that steals email from files in the infected machine
  • %Application Data%\WINYS\Data\networkDll32 -> Encrypted module that steals network information
  • %Application Data%\WINYS\Data\pwgrab32 -> Encrypted module that steals information from Internet Browser Applications, WinSCP, FileZilla, and Microsoft Outlook
  • %Application Data%\WINYS\Data\systeminfo32 -> -> Encrypted module that steals information regarding the infected machine
  • %Application Data%\WINYS\Data\tabDll32 -> Encrypted module that provides the propagation of the malware
  • %Application Data%\WINYS\Data\shareDll32 -> Encrypted module that provides propagation via SMB
  • %Application Data%\WINYS\Data\wormDll32 -> Encrypted module that provides propagation via SMB
  • %Application Data%\WINYS\Data\injectDll32_configs\dinj -> Encrypted list of banking-related URLs and/or websites to monitor
  • %Application Data%\WINYS\Data\injectDll32_configs\dpost -> Encrypted list of C&C servers that will receive the HTTP response to and from the monitored URLs and/or websites
  • %Application Data%\WINYS\Data\injectDll32_configs\sinj -> Encrypted list of banking-related URLs and/or websites to phish
  • %Application Data%\WINYS\Data\mailsearcher32_configs\mailconf -> Encrypted list of C&C servers that will receive the stolen email addresses
  • %Application Data%\WINYS\Data\networkDll32_configs\dpost -> Encrypted list of C&C servers that will receive the stolen network information
  • %Application Data%\WINYS\Data\pwgrab32_configs\dpost -> Encrypted list of C&C servers that will receive the credentials
  • %Application Data%\WINYS\Data\psfin32 -> Encrypted module that identifies Point-Of-Sale systems within the network

(注意: %Application Data% 是当前用户的 Application Data 文件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

它创建下列文件夹:

  • %Application Data%\WINYS
  • %Application Data%\WINYS\Data

(注意: %Application Data% 是当前用户的 Application Data 文件夹,通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

自启动技术

它會新增並執行下列服務:

  • Service Name: {random letters}
    • ImagePath: %System Root%\mswvc.exe or %System%\mswvc.exe
    • DisplayName: Can be either of the following:
      • ServiceTechno4
      • Service_Techno4
      • Technics-service3
      • TechnoServices3
      • Advanced-TechnicService0
      • ServiceTechno6
      • NewServiceTech3
      • Techserver6

(注意: %System% 是 Windows 的 system 文件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。)

后门例程

它连接到下列网站,发送和接收信息:

  • {BLOCKED}.{BLOCKED}.233.82:449
  • {BLOCKED}.{BLOCKED}.129.8:449
  • {BLOCKED}.{BLOCKED}.62.43:449
  • {BLOCKED}.{BLOCKED}.91.177:443
  • {BLOCKED}.{BLOCKED}.39.94:443
  • {BLOCKED}.{BLOCKED}.101.25:443
  • {BLOCKED}.{BLOCKED}.141.255:449
  • {BLOCKED}.{BLOCKED}.39.47:443
  • {BLOCKED}.{BLOCKED}.160.33:449
  • {BLOCKED}.{BLOCKED}.241.133:449
  • {BLOCKED}.{BLOCKED}.54.187:449
  • {BLOCKED}.{BLOCKED}.181.226:449
  • {BLOCKED}.{BLOCKED}.69.70:449
  • {BLOCKED}.{BLOCKED}.218.246:443
  • {BLOCKED}.{BLOCKED}.91.118:449
  • {BLOCKED}.{BLOCKED}.69.70:449
  • {BLOCKED}.{BLOCKED}.173.10:443
  • {BLOCKED}.{BLOCKED}.124.41:449
  • {BLOCKED}.{BLOCKED}.5.113:449
  • {BLOCKED}.{BLOCKED}.171.234:449
  • {BLOCKED}.{BLOCKED}.20.66:449
  • {BLOCKED}.{BLOCKED}.97.179:449
  • {BLOCKED}.{BLOCKED}.182.112:449
  • {BLOCKED}.{BLOCKED}.122.246:443
  • {BLOCKED}.{BLOCKED}.126.250:449
  • {BLOCKED}.{BLOCKED}.161.184:449
  • {BLOCKED}.{BLOCKED}.50.85:443
  • {BLOCKED}.{BLOCKED}.20.113:443
  • {BLOCKED}.{BLOCKED}.74.84:449
  • {BLOCKED}.{BLOCKED}.168.50:443
  • {BLOCKED}.{BLOCKED}.159.129:449
  • {BLOCKED}.{BLOCKED}.222.4:449
  • {BLOCKED}.{BLOCKED}.221.65:447
  • {BLOCKED}.{BLOCKED}.38.59:447
  • {BLOCKED}.{BLOCKED}.204.66:447
  • {BLOCKED}.{BLOCKED}.37.87:447

信息窃取

它会窃取以下信息:

  • OS information (Architecture, Caption, CSDVersion)
  • CPU Information (Name)
  • Memory Information
  • User Accounts
  • Installed Programs
  • Installed Services
  • IP Configuration
  • Network Information (Configuration, Users, Domain Settings)
  • Email addresses
  • Credentials in the following Applications:
    • Microsoft Outlook
    • Filezilla
    • WinSCP
  • Internet Credentials (Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox):
    • Usernames and Passwords
    • Internet Cookies
    • Browsing History
    • Autofills
    • HTTP Posts responses
  • Information regarding Point-Of-Sale (POS) systems in the network, by querying accounts or user name containing the following string:
    • *POS*
    • *REG*
    • *CASH*
    • *LANE*
    • *STORE*
    • *RETAIL*
    • *BOH*
    • *ALOHA*
    • *MICROS*
    • *TERM*

  解决方案

最小扫描引擎: 9.850
First VSAPI Pattern File: 14.628.03
VSAPI 第一样式发布日期: 2018年11月15日
VSAPI OPR样式版本: 14.629.00
VSAPI OPR样式发布日期: 2018年11月16日

Step 1

对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。

Step 3

若要删除此恶意软件/灰色软件/间谍软件创建的随机服务键值,请执行下列步骤:

  1. 使用亚信安全产品扫描您的计算机,然后记录检测到的恶意软件/灰色软件/间谍软件的名称。
  2. 打开注册表编辑器。要执行此操作,请单击“开始”>“运行”,在提供的文本框中输入 regedit,然后按 Enter。
  3. 按 CTRL+F。
  4. 在“查找”对话框中,输入先前检测到的恶意软件的文件名。
    (注意: 请确保仅选中数据复选框,然后单击“查找下一个”。)

    5. find.

  5. 找到后,在右侧面板中,检查结果是否为下列值-数据对:
    ImagePath = {Malware/Grayware/Spyware path and file name}
  6. 如果是,则在左侧面板中,找到数据所在的服务。
  7. 在左侧面板中右键单击找到的服务,然后选择“删除”。
  8. 重复第 2 步到第 6 步,直至出现“注册表搜索完毕”对话框。
  9. 关闭注册表编辑器。

Step 5

搜索和删除这一文件夹

[ 更多 ]
请确认在高级选项中已选中搜索隐藏文件和文件夹复选框,使查找结果包括所有隐藏文件夹。;
  • %Application Data%\WINYS

Step 6

重启进入正常模式,使用亚信安全产品扫描计算机,检测TrojanSpy.Win32.TRICKBOT.AL文件 如果检测到的文件已被亚信安全产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。

Step 7

使用亚信安全产品扫描计算机,并删除检测到的TrojanSpy.Win32.TRICKBOT.AL文件 如果检测到的文件已被亚信安全产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。