Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%APPDATA%\explirer.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\SPOON\CACHE\0xD06ADF8A3D972AFA\STUBEXE\0x699909BED6EC5E51\explirer.exe ONCE
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для процесса 'explirer.exe': %APPDATA%\explirer.exe
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\1d0fd49a-d645-463f-8fa5-63e212c6bd0d\CliSecureRT.dll
- %APPDATA%\explirer.exe
- <LS_APPDATA>\Spoon\Sandbox\73.31.76.08\XSandbox.bin.__tmp__
Удаляет следующие файлы:
- <LS_APPDATA>\Spoon\Sandbox\73.31.76.08\XSandbox.bin
Сетевая активность:
Подключается к:
- 'st###.spoon.net':443
UDP:
- DNS ASK st###.spoon.net
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
