Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'file.exe' = '%TEMP%\35656544\cmpdfr.pif %TEMP%\35656544\qeqb.pah'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- regsvcs.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\RimArts\B2\Settings]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\thunderbird\profiles.ini
- %APPDATA%\mozilla\firefox\profiles.ini
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\35656544\hogemgpqj.dll
- %HOMEPATH%\temp\hogemgpqj.dll
- %TEMP%\35656544\mjgekw.docx
- %TEMP%\35656544\ddllwposto.xl
- %TEMP%\35656544\rdcohdat.pdf
- %TEMP%\35656544\crminl.txt
- %TEMP%\35656544\exwgsmdcc.ppt
- %TEMP%\35656544\jkquffmrr.mp3
- %TEMP%\35656544\voqonqu.jpg
- %TEMP%\35656544\mlmfvk.xls
- %TEMP%\35656544\hsnpsithf.mp3
- %TEMP%\35656544\vwbxxffmpp.pdf
- %TEMP%\35656544\efmrxx.pdf
- %TEMP%\35656544\mgexgkmq.icm
- %TEMP%\35656544\tacheub.xl
- %TEMP%\35656544\hqeruicw.ico
- %TEMP%\35656544\soli.msc
- %TEMP%\35656544\cmpdfr.pif
- %TEMP%\35656544\okgt.vbs
- %TEMP%\35656544\qeqb.pah
- %TEMP%\35656544\run.vbs
- %TEMP%\regsvcs.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\35656544\cmpdfr.pif
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\35656544\cmpdfr.pif' qeqb.pah
- '<SYSTEM32>\wscript.exe' "%TEMP%\35656544\run.vbs"
- '%TEMP%\regsvcs.exe'
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' wlan show profile
