Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ResearchBits' = '"<LS_APPDATA>\ResearchBits\rb.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- <LS_APPDATA>\ResearchBits\rb.exe --register
Запускает на исполнение:
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://www.re####chbits.com/thankyou.html
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\ResearchBits\cgm\poclbm110817.cl
- <LS_APPDATA>\ResearchBits\uninstall.exe
- <LS_APPDATA>\ResearchBits\cgm\libpthread-2.dll
- <LS_APPDATA>\ResearchBits\cgm\phatk110817.cl
- %TEMP%\dw.log
- %TEMP%\280DE.dmp
- %HOMEPATH%\Start Menu\Programs\ResearchBits\ResearchBits Settings.lnk
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\thankyou[1].html
- <LS_APPDATA>\ResearchBits\rb.exe
- <LS_APPDATA>\ResearchBits\cgm\OpenCL.dll
- %TEMP%\nsq2.tmp
- %TEMP%\nsb3.tmp\Processes.dll
- <LS_APPDATA>\ResearchBits\cgm\libcurl-4.dll
- <LS_APPDATA>\ResearchBits\cgm\libpdcurses.dll
- <LS_APPDATA>\ResearchBits\cgm\cgm.exe
- <LS_APPDATA>\ResearchBits\cgm\example.conf
Удаляет следующие файлы:
- %TEMP%\nsb3.tmp\Processes.dll
Сетевая активность:
Подключается к:
- 'ac######.researchbits.com':443
- 'www.re####chbits.com':80
- 'localhost':1034
TCP:
Запросы HTTP GET:
- www.re####chbits.com/thankyou.html
UDP:
- DNS ASK ac######.researchbits.com
- DNS ASK www.re####chbits.com
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
