Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\software\microsoft\windows\currentversion\run] 'IntelPowerAgent4' = 'rundll32.exe shell32.dll, ShellExec_RunDLL C:\PROGRA~3\DBD282~1.EXE'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\icardagt.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль urlmon.dll
- Процесс iexplore.exe, модуль urlmon.dll
- Процесс firefox.exe, модуль crypt32.dll
- Процесс firefox.exe, модуль advapi32.dll
- Процесс iexplore.exe, модуль crypt32.dll
- Процесс iexplore.exe, модуль advapi32.dll
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\dbd2828hhf.exe
- %TEMP%\3492473cd35c8bdceed8
- %LOCALAPPDATA%\cxsd48e.tmp.bat
Удаляет следующие файлы
- %TEMP%\3492473cd35c8bdceed8
Сетевая активность
Подключается к
- 'microsoft.com':80
- 'eb####tazce-ru.com':443
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Другие
- 'eb####tazce-ru.com':443
UDP
- DNS ASK microsoft.com
- DNS ASK eb####tazce-ru.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\icardagt.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%LOCALAPPDATA%\cxsD48E.tmp.bat" "<Полный путь к файлу>""' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\icardagt.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%LOCALAPPDATA%\cxsD48E.tmp.bat" "<Полный путь к файлу>""
- '%WINDIR%\syswow64\attrib.exe' -r -s -h "<Полный путь к файлу>"
