Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\Facemoods_Source.exe' = '%TEMP%\Facemoods_Source.exe:*:Enabled:InstallCore™'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\0001C2CE.log
- %TEMP%\0001C399.log
- %TEMP%\0001BFD0.log
- %TEMP%\ish1027482470\blank.gif
- %TEMP%\ish1027482470\style.css
- %TEMP%\0001DFBC.log
- %TEMP%\is233770471\1674717208.cfg
- %TEMP%\ish1027482470\bootstrap_56591.html
- %TEMP%\ICReinstall\Facemoods_Source.exe
- %HOMEPATH%\Desktop\Continue Facemoods Installation.lnk
- %TEMP%\ish1027482470\iepngfix.htc
- %TEMP%\ish1027482470\images\box-facemoods.jpg
- %TEMP%\ish1027482470\images\progress-bg.png
- %TEMP%\ish1027482470\license_EN.txt
- %TEMP%\Facemoods_Source.exe
- %TEMP%\0001BBB9.log
- %TEMP%\ish1027482470\facemoods.ico
- %TEMP%\ish1027482470\ie6_style.css
- %TEMP%\ish1027482470\images\._box-facemoods.jpg
- %TEMP%\ish1027482470\images\buttons.png
- %TEMP%\ish1027482470\images\logo.jpg
Удаляет следующие файлы:
- %TEMP%\0001C399.log
- %TEMP%\0001DFBC.log
- %TEMP%\ish1027482470\bootstrap_56591.html
- %TEMP%\0001BBB9.log
- %TEMP%\0001BFD0.log
- %TEMP%\0001C2CE.log
Сетевая активность:
Подключается к:
- 'i.###emoods.com':80
- 'rp.####rammersupply.com':80
- 'vc.####moodsreport.com':80
TCP:
Запросы HTTP GET:
- i.###emoods.com/facemoods.cis
- rp.####rammersupply.com/cgi-bin/utils/IP2CC.psc
Запросы HTTP POST:
- vc.####moodsreport.com/?pc#############
UDP:
- DNS ASK i.###emoods.com
- DNS ASK rp.####rammersupply.com
- DNS ASK vc.####moodsreport.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
