Typ: Trojan
Źródło: symantec
System: Windows
Infostealer.Spunst jest trojanem wykradającym informacje ze skompromitowanego systemu.
Działanie:
Tworzy i uruchamia plik
%UserProfile%\Application Data\dllcache32.exe
Potem kasuje oryginalny plik
Dodaje się do autostartu systemu:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"NoDriveTypeAutoRun" = "dllcache32.exe"
Kasuje wszystkie pliki .shs z folderu:
%UserProfile%\Application Data\office
Zapisuje wykradane informacje do pliku:
%UserProfile%\Application Data\colectinf.tag
Dla każdego dysku są to:
* Dysk (w MB)
* Wolna przestrzeń (w MB)
* Rodzaj dysku (Fixed or Removable)
Dla wszystkich plików dysków:
* Czas utworzenia
* Data ostatniej modyfikacji
* Rozmiar
* Nazwa
Dla wszystkich połączeń sieciowych:
* IP
* MAC address
* Hostname
* Otwarte elementy współdzielone
Wykrada także:
* IP
* DHCP Status
* WINS status
* Network type (Ethernet/FDDI)
* Otwarte połączenia TCP i UDP
* Otwarte procesy
* Wszystkie usługi
* Nazwa komputera
* Nazwa użytkownika
* Service Pack
* CPU
* RAM
Wszystko jest następnie kompresowane, szyfrowane i zapisywane do:
%UserProfile%\Application Data\zipcinf.tag
Plik ten jest następnie kopiowany do:
%SystemRoot%\Recycled\spuninst[USER NAME][8 RANDOM CHARACTERS][DATE].shs
Kasuje:
* %UserProfile%\Application Data\colectinf.tag
* %UserProfile%\Application Data\zipcinf.tag
Nazwy wygenerowanych plików .shs są zapisywane do:
%UserProfile%\Application Data\office\dl.log
Usuwanie:
Po wyłączeniu przywracania systemu, aktualizacji antywirusa i wykonania nim skanowania, należy skasować wpis rejestru:
Kod: Zaznacz cały
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"NoDriveTypeAutoRun" = "dllcache32.exe"