Trojan.PWS.DanaBot.324

Для обеспечения автозапуска и распространения

Устанавливает следующие настройки сервисов

[<HKLM>\System\CurrentControlSet\Services\036DCB4F] 'Start' = '00000002'
[<HKLM>\System\CurrentControlSet\Services\036DCB4F] 'ImagePath' = '<SYSTEM32>\svchost.exe -k LocalService'
[<HKLM>\SYSTEM\ControlSet001\services\036DCB4F] 'ImagePath' = '<SYSTEM32>\svchost.exe -k LocalService�'
[<HKLM>\SYSTEM\ControlSet001\services\036DCB4F\Parameters] 'ServiceDll' = '%PROGRAMDATA%\036DCB4F\31405725.dll�'
[<HKLM>\SYSTEM\ControlSet001\services\036DCB4F] 'Start' = '00000002'

Создает следующие сервисы

Вредоносные функции

Внедряет код в

следующие системные процессы:

Завершает или пытается завершить

следующие системные процессы:

Ищет ветки реестра, отвечающие за хранение паролей сторонними программами

[<HKCU>\Software\ORL\WinVNC3]
[<HKLM>\SOFTWARE\Wow6432Node\Miranda]
[<HKCU>\SOFTWARE\Mirabilis\ICQ\NewOwners]
[<HKCU>\Software\Microsoft\MSNMessenger]
[<HKCU>\Software\Yahoo\Pager]
[<HKCU>\Software\America Online\AOL Instant Messenger (TM)\CurrentVersion\Users]
[<HKCU>\Software\Google\Google Talk\Accounts]
[<HKCU>\Software\Paltalk]
[<HKCU>\Software\AIM\AIMPro]
[<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]

Читает файлы, отвечающие за хранение паролей сторонними программами

Изменения в файловой системе

Создает следующие файлы

<Полный путь к файлу>
%TEMP%\1162437.tmp-shm
%TEMP%\1160750.tmp-shm
%TEMP%\1159500.tmp-shm
%PROGRAMDATA%\036dcb4f\51f3d18b\cfc8cdb1d3568a0a6ad0c83e3649018f.zip
%PROGRAMDATA%\microsoft\crypto\rsa\machinekeys\01bf752e807aa8ae5eaa85d9881b93b4_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%TEMP%\1119859.tmp
%TEMP%\1164171.tmp-shm
%TEMP%\1119843.tmp
%TEMP%\1116500.tmp
%PROGRAMDATA%\036dcb4f\da00a4b2
%PROGRAMDATA%\036dcb4f\34fa3f50\f155eb8f9160893581c0f2255a294279
%PROGRAMDATA%\036dcb4f\31405725.dll
%PROGRAMDATA%\036dcb4f\44ea11b3.dll
%PROGRAMDATA%\036dcb4f\441301d6
%TEMP%\1116593.tmp
%TEMP%\1164296.tmp-shm

Присваивает атрибут 'скрытый' для следующих файлов

Удаляет следующие файлы

Подменяет следующие файлы

Сетевая активность

TCP

Другое

Ищет следующие окна

Создает и запускает на исполнение

'%WINDIR%\syswow64\regsvr32.exe' -s <Полный путь к файлу> f1 <Полный путь к файлу>@1996' (со скрытым окном)
'%WINDIR%\syswow64\rundll32.exe' <Полный путь к файлу>,f0' (со скрытым окном)
'%WINDIR%\syswow64\rundll32.exe' C:\PROGRA~3\036DCB4F\31405725.dll,f1 <Полный путь к файлу>@2460' (со скрытым окном)

Запускает на исполнение

'%WINDIR%\syswow64\regsvr32.exe' -s <Полный путь к файлу> f1 <Полный путь к файлу>@1996
'%WINDIR%\syswow64\rundll32.exe' <Полный путь к файлу>,f0
'%WINDIR%\syswow64\rundll32.exe' C:\PROGRA~3\036DCB4F\31405725.dll,f1 <Полный путь к файлу>@2460
'<SYSTEM32>\rundll32.exe' C:\PROGRA~3\036DCB4F\31405725.dll,f1 <Полный путь к файлу>@2460
'<SYSTEM32>\rundll32.exe' %PROGRAMDATA%\036DCB4F\31405725.dll,f2 1FCAAAC36182D72B5B244331A7421701
'<SYSTEM32>\svchost.exe' -k LocalService
'%WINDIR%\syswow64\rundll32.exe' %PROGRAMDATA%\036DCB4F\44EA11B3.dll,f3
'%WINDIR%\syswow64\rundll32.exe' %PROGRAMDATA%\036DCB4F\44EA11B3.dll,f7
'%WINDIR%\syswow64\rundll32.exe' %PROGRAMDATA%\036DCB4F\44EA11B3.dll,f2 E48E292D52AA1264BCBA6B30A9CB2113
'%WINDIR%\syswow64\rundll32.exe' "%WINDIR%\syswow64\wininet.dll",DispatchAPICall 1