Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Adobe Updater Startup Utility' = '%HOMEPATH%\AdobeChecker.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%HOMEPATH%\Rar.exe' e "%HOMEPATH%\pub.rar" -p1nterfer0n "%HOMEPATH%\"
- '%HOMEPATH%\CertMgr.exe' -add -c "%HOMEPATH%\sert.cer" -s -r localMachine root
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\pub.rar
- %HOMEPATH%\Rar.exe
- %HOMEPATH%\CertMgr.exe
- %HOMEPATH%\Resume.pdf
- %HOMEPATH%\sert.cer
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\Rar.exe
- %HOMEPATH%\CertMgr.exe
- %HOMEPATH%\sert.cer
Удаляет следующие файлы:
- %HOMEPATH%\pub.rar
- %HOMEPATH%\Resume.pdf
- %HOMEPATH%\Rar.exe
- %HOMEPATH%\CertMgr.exe
- %HOMEPATH%\sert.cer
Сетевая активность:
Подключается к:
- 'no####lembro.com':80
- 'www.ad##e.com':80
TCP:
Запросы HTTP GET:
- no####lembro.com/PHP/develop/sql_install.php?na###########
- no####lembro.com/PHP/develop/config_add.php?na###########
- www.ad##e.com/
- no####lembro.com/PHP/sucrot/pub.rar
UDP:
- DNS ASK no####lembro.com
- DNS ASK www.ad##e.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
Добавляет корневой сертификат
