Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'F4845319' = '%APPDATA%\F4845319\bin.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\parnas_01.jpeg
- %HOMEPATH%\desktop\cveuropeo.doc
- %HOMEPATH%\desktop\13.jpg
- %HOMEPATH%\desktop\pushkin.jpg
- %HOMEPATH%\desktop\210252809.jpeg
- %HOMEPATH%\desktop\region-north-karelia.jpg
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\f4845319\bin.exe
Сетевая активность
Подключается к
- 'yx####eugmmj.com':80
- 'ln####vvceon.com':80
TCP
Запросы HTTP POST
- http://yx####eugmmj.com/in0odrfqwbio0sa/
- http://ln####vvceon.com/in0odrfqwbio0sa/
UDP
- DNS ASK google.com
- DNS ASK in####rtojertoq.cc
- DNS ASK yx####eugmmj.com
- DNS ASK ln####vvceon.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\winver.exe'
