live casino online

Versucht, Daten zu entwenden, wie z. B. Benutzernamen und Kennw?rter, die beim Anmelden auf Websites von Banken oder anderen Finanzdienstleistern verwendet werden.

?bertragungsdetails

Wird m?glicherweise von den folgenden externen Sites heruntergeladen:

• http://{BLOCKED}wave-aug.com/FE01.exe

Installation

F¨¹gt die folgenden Ordner hinzu:

• %Application Data%\{random folder 1}
• %Application Data%\{random folder 2}

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

F¨¹gt sich in die folgenden Prozesse ein, die im Speicher des betroffenen Systems ausgef¨¹hrt werden:

• explorer.exe
• taskhost.exe
• taskeng.exe
• Dwm.exe
• wscntfy.exe
• ctfmon.exe
• rdpclip.exe

Autostart-Technik

F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = %Application Data%\{random folder 1}\{random file name}.exe

Schleust die folgenden Dateien ein:

• %Application Data%\\{random1}\\{random}.exe - copy of itself
• %Application Data%\{random folder 2}\{random file name} - contains encrypted stolen data

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Andere System?nderungen

Erstellt den oder die folgenden Registrierungseintr?ge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\\EXPLORER.EXE = %Windows%\EXPLORER.EXE:*:Enabled:Windows Explorer

Datendiebstahl

?berwacht auf dem betroffenen System die Aktivit?ten von Internet Explorer (IE), insbesondere die Adressleiste. Erstellt eine rechtm??ige Website mit einer gef?lschten Anmeldeseite, wenn ein Benutzer Banking-Websites mit den folgenden Zeichenfolgen in der Adressleiste und/oder Titelleiste besucht:

• *.ebay.com/*eBayISAPI.dll?*
• *.hsbc.co.uk/1/2*
• *//mail.yandex.ru/
• *//mail.yandex.ru/index.xml
• *//money.yandex.ru/
• *//money.yandex.ru/index.xml
• */atl.osmp.ru/*
• */login.osmp.ru/*
• */my.ebay.com/*CurrentPage=MyeBayPersonalInfo*
• *banquepopulaire.fr/*
• *wellsfargo.com/*
• http://*.osmp.ru/
• http://caixasabadell.net/banca2/tx0011/0011.jsp
• http://www.hsbc.co.uk/1/2/personal/internet-banking*
• https://areasegura.banif.es/bog/bogbsn*
• https://banca.cajaen.es/Jaen/INclient.jsp
• https://bancaonline.openbank.es/servlet/PProxy?*
• https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp
• https://banesnet.banesto.es/*/loginEmpresas.htm
• https://banking*.anz.com/*
• https://cardsonline-consumer.com/RBSG_Consumer/VerifyLogin.do
• https://carnet.cajarioja.es/banca3/tx0011/0011.jsp
• https://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
• https://empresas.gruposantander.es/WebEmpresas/servlet/webempresas.servlets.*
• https://extranet.banesto.es/*/loginParticulares.htm
• https://extranet.banesto.es/npage/OtrosLogin/LoginIBanesto.htm
• https://hb.quiubi.it/newSSO/x11logon.htm
• https://home.cbonline.co.uk/login.html*
• https://home.ybonline.co.uk/login.html*
• https://home.ybonline.co.uk/ral/loginmgr/*
• https://home2ae.cd.citibank.ae/CappWebAppAE/producttwo/capp/action/signoncq.do
• https://ibank.internationalbanking.barclays.com/logon/icebapplication*
• https://intelvia.cajamurcia.es/2043/entrada/01entradaencrip.htm
• https://internetbanking.aib.ie/hb1/roi/signon
• https://light.webmoney.ru/default.aspx
• https://lot-port.bcs.ru/names.nsf?#ogin*
• https://montevia.elmonte.es/cgi-bin/INclient_2098*
• https://oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login
• https://oie.cajamadridempresas.es/CajaMadrid/oie/pt_oie/Login/login_oie_1
• https://olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp*
• https://olb2.nationet.com/signon/signon*
• https://online*.lloydstsb.co.uk/logon.ibc
• https://online-business.lloydstsb.co.uk/customer.ibc
• https://online-offshore.lloydstsb.com/customer.ibc
• https://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
• https://online.wellsfargo.com/das/cgi-bin/session.cgi*
• https://online.wellsfargo.com/login*
• https://online.wellsfargo.com/signon*
• https://onlinebanking#.wachovia.com/myAccounts.aspx?referrer=authService
• https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
• https://pastornetparticulares.bancopastor.es/SrPd*
• https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp
• https://probanking.procreditbank.bg/main/main.asp*
• https://resources.chase.com/MyAccounts.aspx
• https://rupay.com/index.php
• https://scrigno.popso.it*
• https://web.da-us.citibank.com/*BS_Id=MemberHomepage*
• https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/autherror.do*
• https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/l.do
• https://web.secservizi.it/siteminderagent/forms/login.fcc
• https://welcome23.smile.co.uk/SmileWeb/start.do
• https://welcome27.co-operativebank.co.uk/CBIBSWeb/start.do
• https://www#.citizensbankonline.com/*/index-wait.jsp
• https://www#.usbank.com/internetBanking/LoginRouter
• https://www*.banking.first-direct.com/1/2/*
• https://www.53.com/servlet/efsonline/index.html*
• https://www.bancajaproximaempresas.com/ControlEmpresas*
• https://www.bancoherrero.com/es/*
• https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html
• https://www.bgnetplus.com/niloinet/login.jsp
• https://www.caixagirona.es/cgi-bin/INclient_2030*
• https://www.caixalaietana.es/cgi-bin/INclient_2042
• https://www.caixaontinyent.es/cgi-bin/INclient_2045
• https://www.caixatarragona.es/esp/sec_1/oficinacodigo.jsp
• https://www.caja-granada.es/cgi-bin/INclient_2031
• https://www.cajabadajoz.es/cgi-bin/INclient_6010*
• https://www.cajacanarias.es/cgi-bin/INclient_6065
• https://www.cajacirculo.es/ISMC/Circulo/acceso.jsp
• https://www.cajadeavila.es/cgi-bin/INclient_6094
• https://www.cajalaboral.com/home/acceso.asp
• https://www.cajasoldirecto.es/2106/*
• https://www.cajavital.es/Appserver/vitalnet*
• https://www.ccm.es/cgi-bin/INclient_6105
• https://www.citibank.de*
• https://www.clavenet.net/cgi-bin/INclient_7054
• https://www.dab-bank.com*
• https://www.e-gold.com/acct/balance.asp*
• https://www.e-gold.com/acct/li.asp
• https://www.ebank.hsbc.co.uk/main/IBLogon.jsp
• https://www.fibancmediolanum.es/BasePage.aspx*
• https://www.gruposantander.es/*
• https://www.gruposantander.es/bog/sbi*?ptns=acceso*
• https://www.gruppocarige.it/grps/vbank/jsp/login.jsp
• https://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*
• https://www.halifax-online.co.uk/_mem_bin/*
• https://www.halifax-online.co.uk/_mem_bin/formslogin.asp*
• https://www.isbank.com.tr/Internet/ControlLoader.aspx*
• https://www.isideonline.it/relaxbanking/sso.Login*
• https://www.iwbank.it/private/index_pub.jhtml*
• https://www.mybank.alliance-leicester.co.uk/login/*
• https://www.nwolb.com/Login.asp*
• https://www.nwolb.com/Login.aspx*
• https://www.paypal.com/*/webscr?cmd=_account
• https://www.paypal.com/*/webscr?cmd=_login-done*
• https://www.rbsdigital.com/Login.asp*
• https://www.sabadellatlantico.com/es/*
• https://www.suntrust.com/portal/server.pt*parentname=Login*
• https://www.unicaja.es/PortalServlet*
• https://www.uno-e.com/local_bdnt_unoe/Login_unoe2.html
• https://www.us.hsbc.com/*
• https://www.wellsfargo.com/*
• https://www2.bancopopular.es/AppBPE/servlet/servin*

Greift auf die folgende Site zu, um die eigene Konfigurationsdatei herunterzuladen:

• http://{BLOCKED}ave-aug.com/conf_fe01.bin
• http://{BLOCKED}ya-my.com/conf_fe01.bin
• http://{BLOCKED}i-test.com/conf_fe01.bin
• http://{BLOCKED}ice-sok.com/conf_fe01.bin
• http://{BLOCKED}a-in-uk.com/conf_fe01.bin
• http://{BLOCKED}ka-net.com/conf_fe01.bin

Versucht, Daten von den folgenden Banken und/oder anderen Geldinstituten zu entwenden:

• AIB
• ANZ
• Alliance & Leicester
• BBVA
• BG Net Plus
• Banca Intesa
• Bancaja
• Banco Herrero
• Banco Pastor
• Banco Popular
• Banesto
• Banif
• Bank of America
• Banque Populaire
• Barclays
• BrokerCreditService
• CCM
• Caixa Girona
• Caixa Laietana
• Caixa Ontinyent
• Caixa Sabadell
• Caixa Tarragona
• Caja Badajoz
• Caja Canarias
• Caja Circulo
• Caja Granada
• Caja Laboral
• Caja Madrid
• Caja Murcia
• Caja Vital
• Caja de Avila
• Caja de Jaen
• Cajarioja
• Cajasol
• Chase
• Citibank
• Citizens
• Clavenet
• Clydesdale
• Co-Operativebank
• DAB
• E-Gold
• Ebay
• Fibanc Mediolanum
• Fifth Third
• First Direct
• Gruppo Carige
• HSBC
• Halifax
• IS Bank
• IW Bank
• Iside
• Lloyds
• National City
• Nationwide
• Natwest
• OSPM
• Openbank
• PayPal
• PosteItaliane
• Procredit
• Qui UBI
• RBS
• Rupay
• Sabadell Atlantico
• Santander
• Scrigno
• Secservizi
• Smile
• Suntrust
• TD Canada Trust
• US Bank
• Unicaja
• Uno-E
• Wachovia
• Washington Mutual
• Webmoney Keeper Light
• Wells Fargo
• Yandex
• Yorkshire

Einschleusungspunkte

Entwendete Daten werden auf die folgenden Websites hochgeladen:

• http://{BLOCKED}wave-aug.com/MIXADM/gotobot.php

Informationen ¨¹ber Varianten

Verf¨¹gt ¨¹ber folgende MD5-Hash-Werte:

• 4af2ec7f2e8b7e262e45a978bf9dd82c

Verf¨¹gt ¨¹ber folgende SHA1-Hash-Werte:

• 7cb2f0f5e0a11643ad51bf78b4c64f2e242916bf