Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\ftp.exe
- C:\pass\Rar.exe a -r C:\pass\pass.rar C:\pass\
Запускает на исполнение:
- %WINDIR%\regedit.exe -ea C:\pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins2
- <SYSTEM32>\attrib.exe C:\pass +h +s +a +r
- %WINDIR%\regedit.exe -ea C:\pass\MailAgent\reg\agent_3.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins3
- <SYSTEM32>\xcopy.exe Mra\Update\ver.txt C:\pass\MailAgent /K /H /G /Q /R /S /Y
- <SYSTEM32>\xcopy.exe Mra\Base C:\pass\MailAgent /K /H /G /Q /R /S /Y /E
- <SYSTEM32>\taskkill.exe /f /im magent.exe
- <SYSTEM32>\taskkill.exe /f /im opera.exe
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\super.bat" "
- <SYSTEM32>\taskkill.exe /f /im firefox.exe
- <SYSTEM32>\taskkill.exe /f /im iexplore.exe
- <SYSTEM32>\taskkill.exe /f /im chrome.exe
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
- magent.exe
- chrome.exe
- opera.exe
- firefox.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\pass\Google\cookies.sqlite
- C:\pass\Mozilla\signons.sqlite
- C:\pass\Mozilla\key3.db
- C:\pass\ftp.exe
- C:\pass\pass.rar
- C:\pass\Rar.exe
- %TEMP%\1.tmp\ftp.exe
- %TEMP%\1.tmp\Rar.exe
- %TEMP%\1.tmp\super.bat
- C:\pass\Mozilla\cookies.sqlite
- %WINDIR%\Rar.exe
- %WINDIR%\ftp.exe
Удаляет следующие файлы:
- C:\pass\Rar.exe
- C:\pass\pass.rar
- %TEMP%\1.tmp\Rar.exe
- %TEMP%\1.tmp\super.bat
- %TEMP%\1.tmp\ftp.exe
- C:\pass\Mozilla\signons.sqlite
- C:\pass\ftp.exe
- %WINDIR%\Rar.exe
- C:\pass\Google\cookies.sqlite
- C:\pass\Mozilla\key3.db
- C:\pass\Mozilla\cookies.sqlite
Сетевая активность:
Подключается к:
- 'lo####sbot.h19.ru':21
UDP:
- DNS ASK lo####sbot.h19.ru
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: '' WindowName: ''
