Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- regasm.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
- Процесс firefox.exe, модуль wintrust.dll
- Процесс firefox.exe, модуль urlmon.dll
- Процесс firefox.exe, модуль mswsock.dll
- Процесс firefox.exe, модуль cryptsp.dll
- Процесс firefox.exe, модуль dnsapi.dll
- Процесс firefox.exe, модуль netutils.dll
- Процесс firefox.exe, модуль wsock32.dll
- Процесс firefox.exe, модуль iphlpapi.dll
- Процесс firefox.exe, модуль wininet.dll
- Процесс firefox.exe, модуль wtsapi32.dll
- Процесс firefox.exe, модуль crypt32.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-4kj7t.tmp\<Имя файла>.tmp
- %TEMP%\founder
- %TEMP%\scary
- %TEMP%\technologies
- %TEMP%\purchasing
- %TEMP%\category
- %TEMP%\lt
- %TEMP%\is-qq5m3.tmp\setup.tmp
- %TEMP%\compile
- %TEMP%\allah
- %TEMP%\154571\i
- %TEMP%\tranny
- %TEMP%\compete
- %TEMP%\miniature
- %TEMP%\intro
- %TEMP%\bass
- %TEMP%\is-9ltvj.tmp\_isetup\_setup64.tmp
- %TEMP%\humor.cmd
- %TEMP%\154571\eco.pif
- %TEMP%\pontiac
- %TEMP%\glasses
- %TEMP%\se
- %TEMP%\april
- %TEMP%\is-28ds8.tmp\_isetup\_setup64.tmp
- %ProgramFiles(x86)%\strlocalgate\is-63c0d.tmp
- C:\strlocalgate\is-ja9ag.tmp
- %TEMP%\nd
- %TEMP%\optimize
- %TEMP%\sic
- %TEMP%\concentration
- %TEMP%\pepper
- %TEMP%\located
- %TEMP%\ever
- %TEMP%\blake
- %TEMP%\correctly
- %TEMP%\previously
- %TEMP%\hz
- %TEMP%\humor
- %TEMP%\seek
- %TEMP%\tion
- %TEMP%\precipitation
- %TEMP%\fellowship
- %TEMP%\154571\regasm.exe
Удаляет следующие файлы
- %TEMP%\is-28ds8.tmp\_isetup\_setup64.tmp
- %TEMP%\is-4kj7t.tmp\<Имя файла>.tmp
Перемещает следующие файлы
- %ProgramFiles(x86)%\strlocalgate\is-63c0d.tmp в %ProgramFiles(x86)%\strlocalgate\setup.exe
- C:\strlocalgate\is-ja9ag.tmp в C:\strlocalgate\mmreveals.exe
Сетевая активность
Подключается к
- '45.##0.147.183':12245
TCP
Другие
- '45.##0.147.183':12245
UDP
- DNS ASK WT#######LmyIq.WTYoyXMgGLmyIq
Другое
Создает и запускает на исполнение
- '%TEMP%\is-4kj7t.tmp\<Имя файла>.tmp' /SL5="$D0250,3479677,781312,<Полный путь к файлу>"
- '%ProgramFiles(x86)%\strlocalgate\setup.exe'
- 'C:\strlocalgate\mmreveals.exe'
- '%TEMP%\is-qq5m3.tmp\setup.tmp' /SL5="$90244,920064,920064,%ProgramFiles(x86)%\StrLocalGate\Setup.exe"
- '%TEMP%\154571\eco.pif' 154571\i
- '%TEMP%\154571\regasm.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /k copy Humor Humor.cmd & Humor.cmd & exit (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "wrsa.exe opssvc.exe"
- '%WINDIR%\syswow64\findstr.exe' /I "avastui.exe avgui.exe bdservicehost.exe nswscsvc.exe sophoshealth.exe"
- '%WINDIR%\syswow64\cmd.exe' /c md 154571
- '%WINDIR%\syswow64\findstr.exe' /V "TRUEANALOGMINDOC" Pepper
- '%WINDIR%\syswow64\cmd.exe' /c copy /b Lt + Blake + Tranny + Category 154571\i
- '%WINDIR%\syswow64\timeout.exe' 5
