Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- xxx1.exe
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
- iexplore.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Yahoo\pager]
- [HKCU\Software\IMVU\username]
- [HKCU\Software\IMVU\password]
- [HKCU\Software\Paltalk]
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\FTP Commander\]
Ищет следующие окна с целью
обнаружения различных программ и игр:
- ClassName: '', WindowName: 'Yahoo! Messenger'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\keygen.exe
- %TEMP%\xxx1.exe
Сетевая активность
Подключается к
- 'ra###gens.info':80
- 'ra###gens.info':443
TCP
Запросы HTTP GET
- http://www.ra###gens.info/poe/index.php?ac##############################################################################################################
Другие
- 'ra###gens.info':443
UDP
- DNS ASK ra###gens.info
Другое
Создает и запускает на исполнение
- '%TEMP%\keygen.exe'
- '%TEMP%\xxx1.exe'
