Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '%TEMP%\WinVNC.exe' = '%TEMP%\WinVNC.exe:*:Enabled:WinVNC.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\WinVNC.exe' = '%TEMP%\WinVNC.exe:*:Enabled:WinVNC.exe'
Создает и запускает на исполнение:
- %TEMP%\WinVNC.exe -run
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\ORL\WinVNC3]
- [<HKLM>\Software\ORL\WinVNC3]
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\VNCHooks.dll
- %TEMP%\MSRC4Plugin_NoReg.dsm
- %TEMP%\rc4.key
- %TEMP%\operators.i1c
- %TEMP%\version.i1c
- %TEMP%\WinVNC.exe
Сетевая активность:
Подключается к:
- 'www.in####aticauno.it':80
TCP:
Запросы HTTP GET:
- www.in####aticauno.it/AR/config/version.i1c
- www.in####aticauno.it/AR/config/operators.i1c
UDP:
- DNS ASK in######icauno.homeip.net
- DNS ASK www.in####aticauno.it
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
