Техническая информация
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings] 'ProxyEnable' = '00000001'
- [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings] 'ProxyServer' = 'http=127.0.0.1:7788;https=127.0.0.1:7788;'
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\fiddlercore4.dll
- %TEMP%\tmpec57.tmp
- %APPDATA%\microsoft\systemcertificates\my\keys\1866e8db0da32aa22bd780bd4ea30774d7c1ce25
- %APPDATA%\microsoft\systemcertificates\my\certificates\dc1419d831bfa34f5bf0f80a169ec12ea392a09b
- %APPDATA%\microsoft\systemcertificates\request\certificates\a4dd1462b50fde18810d16ebb27db92ca32a78ec
- %LOCALAPPDATA%\microsoft\windows\history\low\history.ie5\index.dat
- %APPDATA%\microsoft\windows\cookies\low\index.dat
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\bx9fui21\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\n84z7be0\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\29yfewzp\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\9zq0wswx\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\index.dat
- %LOCALAPPDATA%\microsoft\windows\history\low\history.ie5\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\history\low\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\desktop.ini
- %APPDATA%\microsoft\crypto\rsa\s-1-5-21-1238866942-1249195528-555854008-1000\9b47c01035d2b019d70737e41a26b83f_d4602615-9d50-4880-be41-678935e93eaa
- %APPDATA%\microsoft\crypto\rsa\s-1-5-21-1238866942-1249195528-555854008-1000\738d7d5347380d2d94bb89632658a321_d4602615-9d50-4880-be41-678935e93eaa
- %TEMP%\tmpd654.tmp
- %TEMP%\tmpd54a.tmp
- %APPDATA%\microsoft\systemcertificates\my\keys\5c19ffd6afee96d9455b75af11e178f0a8c5eb6c
- %APPDATA%\microsoft\systemcertificates\my\certificates\a2e0f65129501636c8eceed4c8a43f64a4cbabce
- %APPDATA%\microsoft\systemcertificates\request\certificates\42dee8d03c1f829cccf10010fe0d96f916af784a
- %APPDATA%\microsoft\crypto\rsa\s-1-5-21-1238866942-1249195528-555854008-1000\63657f074004e5230e11e6fe36ae0125_d4602615-9d50-4880-be41-678935e93eaa
- <Текущая директория>\makecert.exe
- <Текущая директория>\libeay32.dll
- <Текущая директория>\ssleay32.dll
- <Текущая директория>\efd.dll
- %TEMP%\tmpec68.tmp
- %APPDATA%\microsoft\crypto\rsa\s-1-5-21-1238866942-1249195528-555854008-1000\238301b2c4bb1f52c685e203ca5a4fc7_d4602615-9d50-4880-be41-678935e93eaa
Присваивает атрибут 'скрытый' для следующих файлов
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\9zq0wswx\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\29yfewzp\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\n84z7be0\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\bx9fui21\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\history\low\history.ie5\desktop.ini
Удаляет следующие файлы
- %APPDATA%\microsoft\systemcertificates\request\certificates\42dee8d03c1f829cccf10010fe0d96f916af784a
- %TEMP%\tmpd54a.tmp
- %TEMP%\tmpd654.tmp
- %APPDATA%\microsoft\systemcertificates\request\certificates\a4dd1462b50fde18810d16ebb27db92ca32a78ec
- %TEMP%\tmpec57.tmp
- %TEMP%\tmpec68.tmp
Сетевая активность
Подключается к
- 'localhost':7788
TCP
Другие
- 'localhost':49182
Другое
Добавляет корневой сертификат
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "<Полный путь к файлу>"
- '%WINDIR%\syswow64\rundll32.exe' "%WINDIR%\syswow64\wininet.dll",DispatchAPICall 1
