Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'csrs.exe' = '%WINDIR%\csrs.exe'
Вредоносные функции
Ищет следующие окна с целью
обнаружения различных программ и игр:
- ClassName: 'TibiaClient', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\lsass.exe
- %TEMP%\uosu.exe
- %WINDIR%\plik.exe
- %WINDIR%\algg.exe
- %WINDIR%\csrs.exe
- %WINDIR%\algg1.exe
Сетевая активность
Подключается к
- '18#.#65.245.114':80
TCP
Запросы HTTP GET
- http://www.ua####eylogger.pl/version.txt
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\uosu.exe'
- '%TEMP%\lsass.exe'
- '%WINDIR%\plik.exe' -pasdasd
- '%WINDIR%\algg.exe'
- '%WINDIR%\algg1.exe'
