Троянец, предназначенный для кражи данных от клиентских программ "Системы электронного заказа", используемых фармацевтическими компаниями. После запуска осуществляет антиотладку:
- проверяет наличие отладчика
- наличие окна FILE MONITOR
Модуль собирает различную информацию о компьютере и файлах:
- OsInfo
- UserInfo
- BIOS
- CpuInfo
- DiskInfo по каждому диску формирует отчёт
- ProcessInfo
- Desktop Path информация по всем ярлыкам
- CommonStartmenuFolder
- UserStartmenuFolder
- UninstallInformation_x32
- FilesList ".c,0|.cpp,0|.pas,0|.php,0|.doc,0|.xls,0|.docx,0|.xlsx,0"
- Выполняет поиск клиентских программ "Системы электронного заказа", которые используются в аптеках
- client.exe
- Data\stat.dat
- Data\control.*
- Data*_1.dat
- Data*_d.dat
- Data*_c.dat
- Data\
- FM_Client.exe
- Base\price1.*
- Base\price2.*
- Base\price1.*dat
- Base\
- WinPrice.exe
- Data\user.ini
- Data\
- Катрен
- AnalitF.exe
- ANALITF.FDB
- Data\analitf
- Аналит_Фармация_MySql
- Аналит_Фармация_FB
- AHold32.exe
- DB\PRICE\
- AHold32.ini
- Connect.ini
- P.DBF
- Аптека_Холдниг_x86
- AHold.Client.App.exe
- AHold.Client.App.manifest
- AHold.Client.App.exe.config
- AHold.Client.App.exe.manifest
- Data\Price.dat
- Data\
- Аптека_Холдниг_NET
- Dongos_Client.exe
- Database\
- Донской_Госпиталь
- Status.exe
- status.db
- Temp\Price.dat
- Temp\
- Генезис
- client.exe
создаёт зашифрованный отчёт в %WINDOWS%\winsxs\47AF2515\E05A9076, затем отсылает его в виде архива на удаленный узел злоумышленников.
