Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- ctfmon.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\Google\Google Talk\Accounts]
- [<HKCU>\Software\Paltalk]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\ctfmon.exe
- %TEMP%\f-3k9xzh.0.cs
- %TEMP%\f-3k9xzh.cmdline
- %TEMP%\f-3k9xzh.out
- %TEMP%\csc46df.tmp
- %TEMP%\res46ef.tmp
- %TEMP%\f-3k9xzh.dll
- %APPDATA%\chrtmp
Удаляет следующие файлы
- %TEMP%\res46ef.tmp
- %TEMP%\csc46df.tmp
- %TEMP%\f-3k9xzh.0.cs
- %TEMP%\f-3k9xzh.cmdline
- %TEMP%\f-3k9xzh.dll
- %TEMP%\f-3k9xzh.out
Другое
Создает и запускает на исполнение
- '%APPDATA%\ctfmon.exe'
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES46EF.tmp" "%TEMP%\CSC46DF.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\f-3k9xzh.cmdline"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\f-3k9xzh.cmdline"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES46EF.tmp" "%TEMP%\CSC46DF.tmp"
