Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'AGF Start' = '<SYSTEM32>\RIBYAI\AGF.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <LS_APPDATA>\Xenocode\Sandbox\AMMY\2...2.7\2012.08.12T04.46\Native\STUBEXE\@PROFILE@\Local Settings\Temp\AA_v3.exe
- <LS_APPDATA>\Xenocode\Sandbox\AMMY\2...2.7\2012.08.12T04.46\Native\STUBEXE\@SYSTEM@\RIBYAI\AGF.exe
- <LS_APPDATA>\Xenocode\Sandbox\AMMY\2...2.7\2012.08.12T04.46\Virtual\STUBEXE\@APPDIR@\AA_v2.7.exe
- <LS_APPDATA>\Xenocode\Sandbox\AMMY\2...2.7\2012.08.12T04.46\Native\STUBEXE\@PROFILE@\Local Settings\Temp\SYS.exe
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: <SYSTEM32>\RIBYAI\AGF.001
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\RIBYAI\AKV.exe
- <SYSTEM32>\RIBYAI\AGF.002
- %ALLUSERSPROFILE%\Application Data\AMMYY\hr
- %ALLUSERSPROFILE%\Application Data\AMMYY\settings3.bin
- %ALLUSERSPROFILE%\Application Data\AMMYY\hr3
- <SYSTEM32>\RIBYAI\AGF.001
- %TEMP%\SYS.exe
- %TEMP%\AA_v3.exe
- <SYSTEM32>\RIBYAI\AGF.004
- <SYSTEM32>\RIBYAI\AGF.exe
Сетевая активность:
Подключается к:
- 'rl.##myy.com':80
TCP:
Запросы HTTP POST:
- rl.##myy.com/
UDP:
- DNS ASK rl.##myy.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'AmmyyAdmin3Main' WindowName: ''
- ClassName: '' WindowName: 'AKLMW'
