Техническая информация
Вредоносные функции
Создает и загружает библиотеки (эксплоит)
- %WINDIR%\syswow64\udsafety64.dll
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %WINDIR%\SysWOW64\UdSafety32.dll
- Библиотека-обработчик для всех процессов: %WINDIR%\SysWOW64\UdSafety64.dll
оконных сообщений:
- Библиотека-обработчик для всех процессов: %WINDIR%\SysWOW64\UdSafety32.dll
- Библиотека-обработчик для всех процессов: %WINDIR%\SysWOW64\UdSafety64.dll
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\udsafety32.dll
- %WINDIR%\syswow64\udanticap32.exe
- %WINDIR%\syswow64\udsafety64.dll
- %WINDIR%\syswow64\udanticap64.exe
Сетевая активность
UDP
- DNS ASK oc##.thawte.com
- DNS ASK cs#####rl.thawte.com
- DNS ASK cr#.#hawte.com
Другое
Ищет следующие окна
- ClassName: 'UUDOC_ANTICAP32' WindowName: 'UUDOC_AntiCap32'
- ClassName: 'UUDOC_ANTICAP64' WindowName: 'UUDOC_AntiCap64'
Создает и запускает на исполнение
- '%WINDIR%\syswow64\udanticap32.exe' /t:109EB3 /n: /c
- '%WINDIR%\syswow64\udanticap64.exe' /t:10A1C0 /n: /c
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
