Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'VLD Start' = '%ALLUSERSPROFILE%\Application Data\JIEFTM\VLD.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\Application Data\JIEFTM\VLD.exe'
- '%TEMP%\IMG-20121015-00021.jpg.exe'
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %ALLUSERSPROFILE%\Application Data\JIEFTM\VLD.01
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\TLC\VLD.004
- %ALLUSERSPROFILE%\Application Data\TLC\VLD.005
- %ALLUSERSPROFILE%\Application Data\TLC\App_2013-10-29_20-29-15.html
- %ALLUSERSPROFILE%\Application Data\JIEFTM\VLD.02
- %ALLUSERSPROFILE%\Application Data\JIEFTM\VLD.exe
- %TEMP%\IMG-20121015-00021.jpg.exe
- %ALLUSERSPROFILE%\Application Data\JIEFTM\VLD.01
- %ALLUSERSPROFILE%\Application Data\JIEFTM\VLD.00
Удаляет следующие файлы:
- %ALLUSERSPROFILE%\Application Data\TLC\App_2013-10-29_20-29-15.html
Перемещает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\TLC\VLD.004 в %ALLUSERSPROFILE%\Application Data\TLC\2013-10-29_20-29-15.004
Сетевая активность:
Подключается к:
- 'sm##.#ooglemail.com':465
UDP:
- DNS ASK sm##.#ooglemail.com
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'AKLMW'
