Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{69910C3B-8EA8-BA7C-ABFA-7B0B50947085}' = '"%APPDATA%\Peuca\rifoy.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- %APPDATA%\Peuca\rifoy.exe
Запускает на исполнение:
- <SYSTEM32>\netsh.exe firewall set opmode disable
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\ctfmon.exe
- %WINDIR%\Explorer.EXE
следующие пользовательские процессы:
- ge.exe
- gc.exe
- fsavgui.exe
- googletalk.exe
- gw.exe
- GVOnline.bin
- GUARD.EXE
- elementclient.exe
- ekrn.exe
- egni.exe
- firefox.exe
- fsavaui.exe
- fsav32.exe
- fsav.exe
- httplook.exe
- Mir3Game.exe
- MCAGENT.EXE
- maplestory.exe
- miranda32.exe
- msnmsgr.exe
- msn6.exe
- mpftray.exe
- InphaseNXD.exe
- iexplore.exe
- ICQ.exe
- l2.bin
- magent.exe
- lotroclient.exe
- lin.bin
- ecmd.exe
- AVP.COM
- AVGCTRL.EXE
- AVGCC32.EXE
- AVP.EXE
- AVPM.EXE
- AVPCC.EXE
- AVP32.EXE
- aion.exe
- ageofconan.exe
- __cd75efb816b2cc__.exe
- ash.exe
- avgcc.exe
- ashAvSrv.exe
- ashAvast.exe
- AVSYNMGR.EXE
- drweb.exe
- dnf.exe
- dekaron.exe
- Drweb32w.exe
- Drwebwcl.exe
- Drwebupw.exe
- drweb386.exe
- bdsubmit.exe
- bdss.exe
- bdagent.exe
- cabalmain.exe
- ClamWin.exe
- chrome.exe
- ccapp.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\SOFTWARE\martin prikryl\winscp 2\sessions]
- [<HKLM>\SOFTWARE\martin prikryl\winscp 2\sessions]
- [<HKCU>\SOFTWARE\ftpware\coreftp\sites]
- [<HKCU>\SOFTWARE\Far2\Plugins\ftp\hosts]
- [<HKLM>\SOFTWARE\FlashFXP\3]
- [<HKCU>\SOFTWARE\Ghisler\Total Commander]
- [<HKCU>\SOFTWARE\Far\Plugins\ftp\hosts]
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1406' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1406' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1406' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1609' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\Address Book\%USERNAME%.wab
- %TEMP%\MPS1.tmp
- %APPDATA%\Microsoft\Address Book\%USERNAME%.wab~
- %APPDATA%\Ypequ\edpa.igr
- %APPDATA%\Peuca\rifoy.exe
- %TEMP%\tmp195638e8.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\flashplayer[1].jpg
Удаляет следующие файлы:
- %TEMP%\MPS1.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- '21#.#50.164.204':80
TCP:
Запросы HTTP GET:
- 21#.#50.164.204/flash/flashplayer.jpg
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: 'Network event'
- ClassName: 'Indicator' WindowName: ''
