Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'MS Sound Drivers' = '%TEMP%\<Имя файла>.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- <Имя файла>.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Yahoo\pager]
- [HKCU\Software\Paltalk]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\<Имя файла>.exe
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012024011120240112\index.dat
Самоудаляется.
Сетевая активность
Подключается к
- 'po#.#omyr.com':80
UDP
- DNS ASK po#.#omyr.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\<Имя файла>.exe'
Перезапускает анализируемый образец
