Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://84.##.248.166/owen/owen1_.exe как %appdata%\owen1_.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\RimArts\B2\Settings]
- [<HKCU>\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions]
- [<HKCU>\Software\FTPWare\COREFTP\Sites]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\thunderbird\profiles.ini
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghghghghš.sct
- %APPDATA%\owen1_.exe
- %TEMP%\ixp000.tmp\c88xbxoqise.tmp
- %TEMP%\ixp000.tmp\qjmfjol0dq6.exe
- %TEMP%\ixp000.tmp\1u8cx0zdxp6.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\ixp000.tmp\qjmfjol0dq6.exe
Перемещает следующие файлы
- %TEMP%\ixp000.tmp\1u8cx0zdxp6.exe в %TEMP%\tmpg428.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://84.##.248.166/owen/owen1_.exe
Другое
Создает и запускает на исполнение
- '%APPDATA%\owen1_.exe'
- '%TEMP%\ixp000.tmp\qjmfjol0dq6.exe' -decrypt -key rf4saq675ks -infile c88xbxoqise.tmp -outfile 1u8cx0zdxp6.exe
- '%TEMP%\ixp000.tmp\1u8cx0zdxp6.exe'
- '%TEMP%\ixp000.tmp\qjmfjol0dq6.exe' -decrypt -key rf4saq675ks -infile c88xbxoqise.tmp -outfile 1u8cx0zdxp6.exe' (со скрытым окном)
- '%TEMP%\ixp000.tmp\1u8cx0zdxp6.exe' ' (со скрытым окном)
Использует альтернативные потоки данных NTFS
