Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = 'protector.dll'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\bProtector] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\Application Data\bProtector\bProtect.exe' /PROTECT
- '%ALLUSERSPROFILE%\Application Data\bProtector\bProtect.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\ctfmon.exe
- <SYSTEM32>\spoolsv.exe
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\cscript.exe
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\alg.exe
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\csrss.exe
- <SYSTEM32>\smss.exe
- System
- <SYSTEM32>\lsass.exe
- <SYSTEM32>\services.exe
- <SYSTEM32>\winlogon.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\bProtector_prefs.js
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\searchplugins\EntertainmentFinder.xml
- %TEMP%\1.tmp
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\prefs_temp.js
- %TEMP%\search_provider.xml
- <SYSTEM32>\protector.dll
- %TEMP%\protector.dll
- %ALLUSERSPROFILE%\Application Data\bProtector\bProtect.exe
- %TEMP%\bProtect.exe
Удаляет следующие файлы:
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\prefs_temp.js
- %TEMP%\1.tmp
- %TEMP%\search_provider.xml
- %TEMP%\protector.dll
- %TEMP%\bProtect.exe
Сетевая активность:
Подключается к:
- 'www.en###finder.com':80
- 'localhost':1039
TCP:
Запросы HTTP GET:
- http://www.en###finder.com/updatetb.xml
UDP:
- DNS ASK www.en###finder.com
