Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'BORD Agent' = '%WINDIR%\SysWOW64\28463\BORD.exe'
Вредоносные функции
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %WINDIR%\SysWOW64\28463\BORD.006
оконных сообщений:
- Библиотека-обработчик для всех процессов: %WINDIR%\SysWOW64\28463\BORD.006
- Библиотека-обработчик для всех процессов: %WINDIR%\SysWOW64\28463\BORD.007
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\cryptedfile.exe
- %TEMP%\@68d9.tmp
- %TEMP%\@68da.tmp
- %WINDIR%\syswow64\28463\bord.001
- %WINDIR%\syswow64\28463\bord.006
- %WINDIR%\syswow64\28463\bord.007
- %WINDIR%\syswow64\28463\bord.exe
Удаляет следующие файлы
- %TEMP%\@68d9.tmp
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'AKLMW'
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
- ClassName: 'IEFrame' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\cryptedfile.exe'
- '%WINDIR%\syswow64\28463\bord.exe'
- '%WINDIR%\syswow64\28463\bord.exe' ' (со скрытым окном)
