Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\MemoThisMonService] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\MemoThisPOP\MemoThisPOP.exe
- %PROGRAM_FILES%\MemoThisPOP\MemoThisMon.exe
- %PROGRAM_FILES%\MemoThisPOP\MemoThisMon.exe /INSTALL /SILENT
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %PROGRAM_FILES%\MemoThisPOP\dwlgina3.dll
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\MemoThisPOP\uninstall.bat
- %PROGRAM_FILES%\MemoThisPOP\dwlGina3.dll
- %PROGRAM_FILES%\MemoThisPOP\MemoThisPOP.ini
- %PROGRAM_FILES%\MemoThisPOP\MemoThisPOP.exe
- %PROGRAM_FILES%\MemoThisPOP\MemoThisMon.exe
Самоперемещается:
- из <Полный путь к вирусу> в %PROGRAM_FILES%\MemoThisPOP\<Имя вируса>.exe
Сетевая активность:
Подключается к:
- 'cl####.additcom.com':80
- 'www.ad###com.com':80
TCP:
Запросы HTTP GET:
- cl####.additcom.com/updateV12/CUP_VER.html?u=########
- cl####.additcom.com/updateV12/CUP.html?u=########
- www.ad###com.com/install_memothis/?ci#########################################
- cl####.additcom.com/download/MemoThisPOP.html
UDP:
- DNS ASK cl####.additcom.com
- DNS ASK www.ad###com.com
Другое:
Ищет следующие окна:
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
