Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.exe
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- svchost.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\Google\Google Talk\Accounts]
- [<HKCU>\Software\Paltalk]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\svchost.exe
- %TEMP%\us35hmtg.0.cs
- %TEMP%\us35hmtg.cmdline
- %TEMP%\us35hmtg.out
- %TEMP%\cscadc1.tmp
- %TEMP%\resadc2.tmp
- %TEMP%\us35hmtg.dll
- %APPDATA%\chrtmp
Удаляет следующие файлы
- %TEMP%\resadc2.tmp
- %TEMP%\cscadc1.tmp
- %TEMP%\us35hmtg.out
- %TEMP%\us35hmtg.cmdline
- %TEMP%\us35hmtg.0.cs
- %TEMP%\us35hmtg.dll
Другое
Создает и запускает на исполнение
- '%APPDATA%\svchost.exe'
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESADC2.tmp" "%TEMP%\CSCADC1.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\us35hmtg.cmdline"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\us35hmtg.cmdline"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESADC2.tmp" "%TEMP%\CSCADC1.tmp"
