Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\bmail.exe' -s MZђ
- '%TEMP%\del.exe'
- '%TEMP%\PasswordFox.exe' /stext "C:\ffpass.txt"
- '%TEMP%\iepv.exe' /stext "C:\iepass.txt"
- '%TEMP%\mspass.exe' /stext "C:\mspass.txt"
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKLM>\Software\Mirabilis\ICQ\NewOwners]
- [<HKCU>\Software\Yahoo\Pager]
- [<HKCU>\Software\AIM\AIMPRO]
- [<HKCU>\Software\Paltalk]
- [<HKCU>\Software\Google\Google Talk\Accounts]
- [<HKCU>\Software\Mirabilis\ICQ\NewOwners]
- [<HKCU>\Software\Microsoft\MSNMessenger]
- [<HKLM>\Software\Miranda]
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
- [<HKCU>\Software\America Online\AIM6\Passwords]
- [<HKCU>\Software\Microsoft\IdentityCRL]
- [<HKCU>\Software\Microsoft\MessengerService]
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\7-zip32.dll
- %TEMP%\aut7.tmp
- %TEMP%\iepv.exe
- %TEMP%\aut6.tmp
- %TEMP%\bblack.jpg
- %TEMP%\server_smtp\ATP_Mailer\smtp
- C:\pass.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\fai[1].php
- %TEMP%\aut2.tmp
- %TEMP%\del.exe
- %TEMP%\aut1.tmp
- <SYSTEM32>\bmail.exe
- %TEMP%\aut3.tmp
- %TEMP%\mspass.exe
- %TEMP%\aut5.tmp
- %TEMP%\PasswordFox.exe
- %TEMP%\aut4.tmp
Удаляет следующие файлы:
- %TEMP%\aut7.tmp
- %TEMP%\aut6.tmp
- C:\pass.txt
- %TEMP%\~DF5773.tmp
- %TEMP%\aut5.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %TEMP%\aut4.tmp
- %TEMP%\aut3.tmp
Сетевая активность:
Подключается к:
- 'ar###an.free.fr':80
TCP:
Запросы HTTP GET:
- ar###an.free.fr/fai.php
UDP:
- DNS ASK ar###an.free.fr
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'Shell_traywnd' WindowName: ''
