Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\winlogon.exe' = '<SYSTEM32>\winlogon.exe:*:enabled:@shell32.dll,-1'
Создает и запускает на исполнение:
- %TEMP%\nsp3.tmp\e4u.exe
- %TEMP%\mia4.tmp\email_verifier_setup.exe /m="%TEMP%\nsp3.tmp\EMAIL_~1.EXE" /k=""
- %TEMP%\nsp3.tmp\ic2.exe
- %TEMP%\nsp3.tmp\email_verifier_setup.exe
- %TEMP%\nsp3.tmp\exrev.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\winlogon.exe
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\mia4.tmp\OFFLINE\B6E2D156\6D946CB8\Common.dll
- %TEMP%\mia4.tmp\mia.lib
- %TEMP%\mia4.tmp\OFFLINE\676DC81D\6D946CB8\Verifier.exe
- %TEMP%\mia4.tmp\OFFLINE\45EB6D69\6D946CB8\AppCommon.dll
- <SYSTEM32>\spool\prtprocs\w32x86\5.tmp
- %WINDIR%\Temp\6.tmp
- %TEMP%\mia4.tmp\OFFLINE\E55E978B\6D946CB8\Verifier.exe.config
- %TEMP%\mia4.tmp\email_verifier_setup.res
- %TEMP%\mia4.tmp\email_verifier_setup.exe
- %TEMP%\nsp3.tmp\exrev.exe
- %TEMP%\nsp3.tmp\ic2.exe
- %TEMP%\nss2.tmp
- %TEMP%\nsp3.tmp\email_verifier_setup.exe
- %TEMP%\mia4.tmp\OFFLINE\C8D51F9E\8E47E3C9\Icon.ico
- %TEMP%\mia4.tmp\OFFLINE\B4709612\4DAE8CF4\Emails.txt
- %TEMP%\nsp3.tmp\e4u.exe
- %TEMP%\mia4.tmp\email_verifier_setup.msi
Удаляет следующие файлы:
- %TEMP%\nsp3.tmp\ic2.exe
- %TEMP%\nsp3.tmp\e4u.exe
- %TEMP%\nsp3.tmp\exrev.exe
Сетевая активность:
UDP:
- DNS ASK ab###der.com
- DNS ASK ru.#rans.pl
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
