Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Java Auto Update' = '%APPDATA%\Java\Update\Download\Cache\jsheded.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Java\Update\Download\Cache\csrss.exe' -o http://po##.#0btc.com:8332 -u horse@pisem.net -p pass -I 2
- '%APPDATA%\Java\Update\Download\Cache\jsheded.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%APPDATA%\Java\Update\Download\Cache\check_update.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Java\Update\Download\Cache\ssleay32.dll
- %APPDATA%\Java\Update\Download\Cache\zlib1.dll
- %APPDATA%\Java\Update\Download\Cache\OpenCL.dll
- %APPDATA%\Java\Update\Download\Cache\pthreadGC2.dll
- %APPDATA%\Java\Update\Download\Cache\phatk121016.cl
- %APPDATA%\Java\Update\Download\Cache\poclbm121016.cl
- %APPDATA%\Java\Update\Download\Cache\diablo121016.cl
- %APPDATA%\Java\Update\Download\Cache\diakgcn121016.cl
- %APPDATA%\Java\Update\Download\Cache\jsheded.exe
- %APPDATA%\Java\Update\Download\Cache\libcurl-4.dll
- %APPDATA%\Java\Update\Download\Cache\check_update.bat
- %APPDATA%\Java\Update\Download\Cache\csrss.exe
- %APPDATA%\Java\Update\Download\Cache\libpdcurses.dll
- %APPDATA%\Java\Update\Download\Cache\libusb-1.0.dll
- %APPDATA%\Java\Update\Download\Cache\libeay32.dll
- %APPDATA%\Java\Update\Download\Cache\libidn-11.dll
Сетевая активность:
UDP:
- DNS ASK po##.50btc.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
