Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\caltpxbo.key
- <Имя диска съемного носителя>:\roozenedowebinar.pptx
- <Имя диска съемного носителя>:\waterresourcesag.pptx
- <Имя диска съемного носителя>:\stoc13_ml_quoc_le.pptx
- <Имя диска съемного носителя>:\adhd_and_obesity.docx
- <Имя диска съемного носителя>:\thlps_keeper_mayer_1965.docx
- <Имя диска съемного носителя>:\issi2013_template_for_posters.docx
- <Имя диска съемного носителя>:\nwfieldnotes1966.docx
- <Имя диска съемного носителя>:\aoc_saq_d_v3_merchant.docx
- <Имя диска съемного носителя>:\uep_form_786_bulletin_1726i602.doc
- <Имя диска съемного носителя>:\fi51.doc
- <Имя диска съемного носителя>:\samieee_obiee_presentation.pptx
- <Имя диска съемного носителя>:\weeklysheet1215.doc
- <Имя диска съемного носителя>:\hanni_umami_chapter.doc
- <Имя диска съемного носителя>:\ovp25012015.doc
- <Имя диска съемного носителя>:\default.bmp
- <Имя диска съемного носителя>:\tileimage.bmp
- <Имя диска съемного носителя>:\how_to_decrypt.txt
- <Имя диска съемного носителя>:\dashborder_96.bmp
- <Имя диска съемного носителя>:\dashborder_192.bmp
- <Имя диска съемного носителя>:\delete.avi
- <Имя диска съемного носителя>:\correct.avi
- <Имя диска съемного носителя>:\bczrsn3a.key
- <Имя диска съемного носителя>:\february_catalogue__2015.doc
- <Имя диска съемного носителя>:\hypothyroidism_slides.pptx
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abc.1111263934.exe
- nul
- C:\caltpxbo.key
- D:\caltpxbo.key
- C:\bczrsn3a.key
- D:\bczrsn3a.key
- C:\how_to_decrypt.txt
- D:\how_to_decrypt.txt
Удаляет следующие файлы
- %TEMP%\abc.1111263934.exe
Перемещает следующие файлы
- %APPDATA%\winamp\demo.mp3 в %APPDATA%\winamp\demo.mp3.bczrsn3a_0reresrq97e
- %APPDATA%\opera software\opera stable\storage\ext\sync-login\def\quotamanager в %APPDATA%\opera software\opera stable\storage\ext\sync-login\def\quotamanager.caltpxbo_2pqamrb29vb
- %APPDATA%\opera software\opera stable\storage\ext\sync-login\def\gpucache\data_0 в %APPDATA%\opera software\opera stable\storage\ext\sync-login\def\gpucache\data_0.bczrsn3a_-dg4ocpbwch
- %APPDATA%\opera software\opera stable\storage\ext\sync-login\def\gpucache\data_1 в %APPDATA%\opera software\opera stable\storage\ext\sync-login\def\gpucache\data_1.bczrsn3a_0jcqkjlzwvl
- %APPDATA%\opera software\opera stable\local storage\https_www.yandex.ru_0.localstorage в %APPDATA%\opera software\opera stable\local storage\https_www.yandex.ru_0.localstorage.bczrsn3a_1hywfjv7-_v
- %APPDATA%\opera software\opera stable\local storage\https_www.yandex.ru_0.localstorage-journal в %APPDATA%\opera software\opera stable\local storage\https_www.yandex.ru_0.localstorage-journal.bczrsn3a_5ycnjwgbgyg
- %APPDATA%\opera software\opera stable\jump list iconsold\3651.tmp в %APPDATA%\opera software\opera stable\jump list iconsold\3651.tmp.bczrsn3a_5suljrjsulj
- %APPDATA%\opera software\opera stable\jump list iconsold\36a1.tmp в %APPDATA%\opera software\opera stable\jump list iconsold\36a1.tmp.caltpxbo_7i4rkzqufbq
- %APPDATA%\opera software\opera stable\jump list iconsold\36c3.tmp в %APPDATA%\opera software\opera stable\jump list iconsold\36c3.tmp.caltpxbo_6cgokahiseh
- %APPDATA%\opera software\opera stable\jump list iconsold\3703.tmp в %APPDATA%\opera software\opera stable\jump list iconsold\3703.tmp.bczrsn3a_7s0tlrlzwwz
- %APPDATA%\opera software\opera stable\jump list iconsold\3724.tmp в %APPDATA%\opera software\opera stable\jump list iconsold\3724.tmp.caltpxbo_2dnzwxawlpa
- %APPDATA%\opera software\opera stable\jump list iconsold\3765.tmp в %APPDATA%\opera software\opera stable\jump list iconsold\3765.tmp.caltpxbo_97e3t4aaaaa
- %APPDATA%\opera software\opera stable\jump list iconsold\3796.tmp в %APPDATA%\opera software\opera stable\jump list iconsold\3796.tmp.bczrsn3a_zo6ojqskpks
- %APPDATA%\opera software\opera stable\jump list icons\50ed.tmp в %APPDATA%\opera software\opera stable\jump list icons\50ed.tmp.bczrsn3a_3h4ehg4odg4
- %APPDATA%\opera software\opera stable\jump list icons\514d.tmp в %APPDATA%\opera software\opera stable\jump list icons\514d.tmp.bczrsn3a_2jiymkkpksk
- %APPDATA%\opera software\opera stable\jump list icons\516e.tmp в %APPDATA%\opera software\opera stable\jump list icons\516e.tmp.bczrsn3a_6cgokcioqki
- %APPDATA%\opera software\opera stable\jump list icons\51ce.tmp в %APPDATA%\opera software\opera stable\jump list icons\51ce.tmp.bczrsn3a_wicagiaaaaa
- %APPDATA%\opera software\opera stable\jump list icons\51ff.tmp в %APPDATA%\opera software\opera stable\jump list icons\51ff.tmp.caltpxbo_4cagiciiiii
- %APPDATA%\opera software\opera stable\jump list icons\524f.tmp в %APPDATA%\opera software\opera stable\jump list icons\524f.tmp.caltpxbo_-tk5otdw8n9
- %APPDATA%\opera software\opera stable\jump list icons\529f.tmp в %APPDATA%\opera software\opera stable\jump list icons\529f.tmp.bczrsn3a_3z2dnz5exl5
- %APPDATA%\mra\update\languages.aff в %APPDATA%\mra\update\languages.aff.bczrsn3a_xywfhaagica
- %APPDATA%\mra\update\languages.dict в %APPDATA%\mra\update\languages.dict.bczrsn3a_6cgopojcqkj
- %APPDATA%\mra\update\languages.hash в %APPDATA%\mra\update\languages.hash.caltpxbo_8tekpls7ozs
- %APPDATA%\mra\base\mra.dbs в %APPDATA%\mra\base\mra.dbs.caltpxbo_5ycnjyuljsu
- %APPDATA%\mra\base\opt.dbs в %APPDATA%\mra\base\opt.dbs.bczrsn3a_87ozs76-vr6
- %APPDATA%\mozilla\firefox\profiles\gn7ryp3k.default\content-prefs.sqlite в %APPDATA%\mozilla\firefox\profiles\gn7ryp3k.default\content-prefs.sqlite.bczrsn3a_ygokchdxv1d
- %APPDATA%\opera software\opera stable\storage\ext\sync-login\def\cookies в %APPDATA%\opera software\opera stable\storage\ext\sync-login\def\cookies.bczrsn3a_6ysrkwslcws
- %APPDATA%\mozilla\firefox\profiles\gn7ryp3k.default\cookies.sqlite в %APPDATA%\mozilla\firefox\profiles\gn7ryp3k.default\cookies.sqlite.caltpxbo_0zgrkzhywfh
- %APPDATA%\opera software\opera stable\web data-journal в %APPDATA%\opera software\opera stable\web data-journal.bczrsn3a_8jiygi2njy2
- %APPDATA%\opera software\opera stable\visited links в %APPDATA%\opera software\opera stable\visited links.caltpxbo_1f8_pyenp6e
- %APPDATA%\thunderbird\profiles\wjj9aet2.default\blist.sqlite в %APPDATA%\thunderbird\profiles\wjj9aet2.default\blist.sqlite.bczrsn3a_0baqeatexmt
- %APPDATA%\thunderbird\profiles\wjj9aet2.default\cookies.sqlite в %APPDATA%\thunderbird\profiles\wjj9aet2.default\cookies.sqlite.caltpxbo_0tls0vmzmzm
- %APPDATA%\thunderbird\profiles\wjj9aet2.default\global-messages-db.sqlite в %APPDATA%\thunderbird\profiles\wjj9aet2.default\global-messages-db.sqlite.caltpxbo__7-_v7t7und
- %APPDATA%\thunderbird\profiles\wjj9aet2.default\permissions.sqlite в %APPDATA%\thunderbird\profiles\wjj9aet2.default\permissions.sqlite.bczrsn3a_yagicclpawl
- %APPDATA%\thunderbird\profiles\wjj9aet2.default\places.sqlite в %APPDATA%\thunderbird\profiles\wjj9aet2.default\places.sqlite.bczrsn3a_4qkioomdawm
- %APPDATA%\thunderbird\profiles\wjj9aet2.default\prefs.js в %APPDATA%\thunderbird\profiles\wjj9aet2.default\prefs.js.bczrsn3a_9ra2tohbwch
- %APPDATA%\thunderbird\profiles\wjj9aet2.default\webappsstore.sqlite в %APPDATA%\thunderbird\profiles\wjj9aet2.default\webappsstore.sqlite.bczrsn3a_xgygbjy8vly
- %APPDATA%\telegram desktop\log.txt в %APPDATA%\telegram desktop\log.txt.caltpxbo-9ra2triymji
- %APPDATA%\telegram desktop\tdata\90ef50e22e92cb8c0 в %APPDATA%\telegram desktop\tdata\90ef50e22e92cb8c0.caltpxbo_5awlpzwvlzw
- %APPDATA%\opera software\opera stable\bookmarks в %APPDATA%\opera software\opera stable\bookmarks.bczrsn3a_1zwvlbkysrk
- %APPDATA%\opera software\opera stable\bookmarks.bak в %APPDATA%\opera software\opera stable\bookmarks.bak.bczrsn3a_ygoqklj4-pj
- %APPDATA%\opera software\opera stable\bookmarksextras в %APPDATA%\opera software\opera stable\bookmarksextras.bczrsn3a_5ikjcsvr6-v
- %APPDATA%\opera software\opera stable\browser.js в %APPDATA%\opera software\opera stable\browser.js.bczrsn3a_3r0dhrntu1n
- %APPDATA%\opera software\opera stable\cookies в %APPDATA%\opera software\opera stable\cookies.caltpxbo_0rererkskqw
- %APPDATA%\opera software\opera stable\cookies-journal в %APPDATA%\opera software\opera stable\cookies-journal.caltpxbo_6kioql29vb2
- %APPDATA%\opera software\opera stable\favicons в %APPDATA%\opera software\opera stable\favicons.caltpxbo_3jycnjpt09p
- %APPDATA%\opera software\opera stable\favicons-journal в %APPDATA%\opera software\opera stable\favicons-journal.bczrsn3a__7-_v5cqkjc
- %APPDATA%\opera software\opera stable\history в %APPDATA%\opera software\opera stable\history.caltpxbo_2rkzgqmdawm
- %APPDATA%\opera software\opera stable\history-journal в %APPDATA%\opera software\opera stable\history-journal.bczrsn3a_-zs7owbaqeb
- %APPDATA%\opera software\opera stable\login data в %APPDATA%\opera software\opera stable\login data.bczrsn3a_zg4odidg4od
- %APPDATA%\opera software\opera stable\origin bound certs в %APPDATA%\opera software\opera stable\origin bound certs.caltpxbo_2bgdg6zs7oz
- %APPDATA%\opera software\opera stable\preferences в %APPDATA%\opera software\opera stable\preferences.bczrsn3a__r6-vpdq0nd
- %APPDATA%\opera software\opera stable\quotamanager в %APPDATA%\opera software\opera stable\quotamanager.bczrsn3a_-jo6ojdw8pd
- %APPDATA%\opera software\opera stable\session.db-journal в %APPDATA%\opera software\opera stable\session.db-journal.bczrsn3a_xgysrj1dxv1
- %APPDATA%\opera software\opera stable\session.dbak в %APPDATA%\opera software\opera stable\session.dbak.bczrsn3a__7-_v5cqkjc
- %APPDATA%\opera software\opera stable\web data в %APPDATA%\opera software\opera stable\web data.bczrsn3a_35-fn4uli4u
- %APPDATA%\mozilla\firefox\profiles\gn7ryp3k.default\cookies.sqlite-shm в %APPDATA%\mozilla\firefox\profiles\gn7ryp3k.default\cookies.sqlite-shm.bczrsn3a_zo6ojqskpks
Изменяет следующие файлы
- <Имя диска съемного носителя>:\dashborder_192.bmp.caltpxbo_-jo6oja2tra
- <Имя диска съемного носителя>:\correct.avi.bczrsn3a_8dawmaokcgo
- <Имя диска съемного носителя>:\delete.avi.caltpxbo_2zmzmzubm5u
- <Имя диска съемного носителя>:\dashborder_96.bmp.caltpxbo_4seuli9pt09
- <Имя диска съемного носителя>:\tileimage.bmp.bczrsn3a_46ojo5zwvlz
- <Имя диска съемного носителя>:\default.bmp.bczrsn3a_4kcgtrzwvlz
- <Имя диска съемного носителя>:\hanni_umami_chapter.doc.caltpxbo-zawmdaufbqu
- <Имя диска съемного носителя>:\issi2013_template_for_posters.docx.caltpxbo--dg4oc6urps
Подменяет следующие файлы
- <Имя диска съемного носителя>:\february_catalogue__2015.doc
- <Имя диска съемного носителя>:\aoc_saq_d_v3_merchant.docx
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
