Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %HOMEPATH%\PASSWORD.EXE /stext FireFox.txt
- %HOMEPATH%\IEPV.EXE /stext InternetExplorer.txt
- %HOMEPATH%\CHROMEPA.EXE /stext Chrome.txt
Запускает на исполнение:
- <SYSTEM32>\ntvdm.exe -f
- <SYSTEM32>\taskkill.exe /F /IM "chrome.exe"
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\StealerMP.bat" "<Текущая директория>\""
- <SYSTEM32>\findstr.exe /R /B /I /C:"Path="
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\scs3.tmp
- %WINDIR%\Temp\scs2.tmp
- %HOMEPATH%\4.exe
- %HOMEPATH%\CHROMEPA.EXE
- %HOMEPATH%\Chrome.txt
- %HOMEPATH%\IEPV.EXE
- %HOMEPATH%\PASSWORD.EXE
- %HOMEPATH%\3.zip
- %TEMP%\1.tmp\extract.config
- %TEMP%\1.tmp\erro.cfg
- %TEMP%\1.tmp\StealerMP.bat
- %TEMP%\1.tmp\install.config
- %HOMEPATH%\2.zip
- %HOMEPATH%\1.zip
- %TEMP%\1.tmp\uninstall.config
Удаляет следующие файлы:
- %WINDIR%\Temp\scs3.tmp
- %WINDIR%\Temp\scs2.tmp
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-b1c.b20.3a0001'
