Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'JBJFFJBFFBJFFJB' = '<SYSTEM32>\saint-1.0-jar-with-dependencies.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Security' = '%APPDATA%\(s)AINT\saint.jar'
Вредоносные функции
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %TEMP%\JNativeHook_4294611085862653051.dll
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\saint-1.0-jar-with-dependencies.exe
- %TEMP%\vac-bypass-loader.exe
- %APPDATA%\(s)aint\saint.jar
- %TEMP%\jnativehook_4294611085862653051.dll
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\saint-1.0-jar-with-dependencies.exe'
- '%TEMP%\vac-bypass-loader.exe'
- '%WINDIR%\syswow64\saint-1.0-jar-with-dependencies.exe' ' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\java\jre1.8.0_45\bin\javaw.exe' -jar "%WINDIR%\SysWOW64\saint-1.0-jar-with-dependencies.exe"
- '%ProgramFiles(x86)%\steam\steam.exe'
- '%WINDIR%\syswow64\reg.exe' ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V "Security" /t REG_SZ /F /D "%APPDATA%\(s)AINT\saint.jar"
- '%ProgramFiles(x86)%\steam\bin\steamwebhelper.exe' -cachedir="%LOCALAPPDATA%\Steam\htmlcache" -steampid=2180 -buildid=1451690000 -steamid="0" --disable-gpu-compositing --disable-gpu --process-per-tab --enable-system-flash --disable-spell-check...
