Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\Currentversion\Run] '{D9BCDA41-A605-AD44-B8E2-831792E4A00A}' = '%APPDATA%\Ocumpu\maygbo.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
- <SYSTEM32>\conhost.exe
следующие пользовательские процессы:
- iexplore.exe
- winmail.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль crypt32.dll
- Процесс firefox.exe, модуль wininet.dll
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль crypt32.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\ocumpu\maygbo.exe
- %TEMP%\tmpd673bf2a.bat
- %TEMP%\ppcrlui_980_2
- %TEMP%\ppcrlui_2732_2
Удаляет следующие файлы
- %TEMP%\ppcrlui_980_2
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK microsoft.com
- '10#.#11.64.46':23323
- '19#.#43.220.218':15242
- '99.#8.30.82':14974
- '71.##.56.253':22652
- '17#.#19.111.12':20179
- '74.##.168.254':23099
- '66.##7.77.134':15387
- '94.##.45.182':17162
- '96.##.35.109':14435
- '17#.#22.94.94':24206
Другое
Ищет следующие окна
- ClassName: 'OutlookExpressHiddenWindow' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\ocumpu\maygbo.exe'
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\tmpd673bf2a.bat"' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\windows mail\winmail.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\tmpd673bf2a.bat"
