Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s "config.reg"
- '%APPDATA%\CCleaner\CCleaner.exe'
- '%APPDATA%\4\ooo.exe'
- '<SYSTEM32>\cmd.exe' /c ""%APPDATA%\4\start (4).bat" "
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shell32.dll,OpenAs_RunDLL %APPDATA%\4\ppp.mp4
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\SOFTWARE\FileZilla Client]
- [<HKCU>\Software\RIT\The Bat!]
- [<HKCU>\Software\Headlight\GetRight]
- [<HKLM>\SOFTWARE\FileZilla Client]
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\CCleaner\CCleaner.exe
- %TEMP%\AGI2.tmp
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\cookies.sqlite-shm
- %APPDATA%\CCleaner\video.mp4
- %APPDATA%\4\start (4).bat
- %APPDATA%\4\ppp.mp4
- %TEMP%\AGI1.tmp
- %APPDATA%\4\ooo.exe
Удаляет следующие файлы:
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\cookies.sqlite-shm
- %TEMP%\AGI2.tmp
- %TEMP%\AGI1.tmp
Сетевая активность:
Подключается к:
- 'www.pi###orm.com':443
UDP:
- DNS ASK www.pi###orm.com
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
