Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Lupita.exe' = '<LS_APPDATA>\Lupita\Lupita.exe'
Вредоносные функции:
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Microsoft\MessengerService]
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\Lupita\Lupita.exe
Сетевая активность:
Подключается к:
- 'www.ih###spoir.be':80
- 'www.hw##it.com':80
- 'www.gr####-cogit.com':80
- 'www.hi####alhas.com.br':80
- 'www.ho###ilm.info':80
- 'h1######.stratoserver.net':80
TCP:
Запросы HTTP POST:
- www.ih###spoir.be/espoir/wii.php
- www.hw##it.com/modules/wii.php
- www.gr####-cogit.com/gosier//images/people/wii.php
- www.hi####alhas.com.br/img_site/addo.php
- www.ho###ilm.info/features/addo.php
- h1######.stratoserver.net/wework/js/addo.php
UDP:
- DNS ASK www.ih###spoir.be
- DNS ASK www.hw##it.com
- DNS ASK www.gr####-cogit.com
- DNS ASK h1######.stratoserver.net
- DNS ASK www.hi####alhas.com.br
- DNS ASK www.ho###ilm.info
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'Internet Explorer_Server' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Frame Tab' WindowName: ''
- ClassName: 'TabWindowClass' WindowName: ''
- ClassName: 'Shell DocObject View' WindowName: ''
