Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'XpMoniter_INFO' = '"<SYSTEM32>\XpMoniter.exe" /run'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\XpMoniter.exe
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %HOMEPATH%\Templates\јєГЯЗа.JPG
Скрывает следующие процессы:
- <SYSTEM32>\XpMoniter.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Recent\јєГЯЗа.lnk
- <SYSTEM32>\update.ini
- %HOMEPATH%\Recent\Templates.lnk
- %HOMEPATH%\Templates\јєГЯЗа.JPG
- <SYSTEM32>\MSAgent.exe
- <SYSTEM32>\XpMoniter.exe
- <SYSTEM32>\mfc42dbg.dll
- <SYSTEM32>\windrv.dat
Сетевая активность:
Подключается к:
- 'ha#####00.cafe24.com':80
TCP:
Запросы HTTP GET:
- ha#####00.cafe24.com/aa/10/update.ini
UDP:
- DNS ASK ha#####00.cafe24.com
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'MG2GFX' WindowName: '?????? ????'
- ClassName: '' WindowName: '???? ??????????'
- ClassName: 'Afx:00400000:b' WindowName: '?????? 7????'
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Afx:00400000:b' WindowName: '?????? ??????????'
- ClassName: 'TFmMSAgent' WindowName: '___'
- ClassName: 'TFmMoniter' WindowName: '___'
- ClassName: 'Afx:00400000:b' WindowName: '?????? ??????'
- ClassName: 'Afx:00400000:b' WindowName: '????????2'
- ClassName: 'Afx:00400000:b' WindowName: '?????? ?????????? ????'
