Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{E8165106-D6BF-CCC9-54FE-AFD561FFB2E5}' = '"%APPDATA%\Identities\trayIdentities.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Identities\trayIdentities.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\tmp5f20b796.bat"
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Microsoft\Internet Account Manager]
- [<HKCU>\SOFTWARE\ftpware\coreftp\sites]
- [<HKCU>\Software\Microsoft\Windows Live Mail]
- [<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKLM>\SOFTWARE\martin prikryl\winscp 2\sessions]
- [<HKCU>\SOFTWARE\Far\Plugins\ftp\hosts]
- [<HKCU>\SOFTWARE\Ghisler\Total Commander]
- [<HKCU>\SOFTWARE\martin prikryl\winscp 2\sessions]
- [<HKCU>\SOFTWARE\Far2\Plugins\ftp\hosts]
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1A10' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1A10' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1A02' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1A03' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1A06' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1A05' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1A05' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1406' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1406' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1406' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '1609' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Identities\Nety
- <LS_APPDATA>\Identities\{5518F2FB-DB74-45A3-BEC1-4575D8D9DC84}\Microsoft\Outlook Express\Sent Items.dbx
- %APPDATA%\Identities\trayIdentities.exe
- %TEMP%\tmp5f20b796.bat
Удаляет следующие файлы:
- <Полный путь к файлу>
Перемещает следующие файлы:
- %APPDATA%\Identities\Nety в %APPDATA%\Identities\Nety.tmp
Сетевая активность:
Подключается к:
- 'va####ginfocentr.ru':80
UDP:
- DNS ASK va####ginfocentr.ru
