Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\Currentversion\Run] 'Ymobw' = '%APPDATA%\Cyum\ereh.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
- <SYSTEM32>\conhost.exe
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
- winmail.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKLM\SOFTWARE\Wow6432Node\FlashFXP\3]
- [HKCU\SOFTWARE\Ghisler\Total Commander]
- [HKCU\SOFTWARE\Far\Plugins\ftp\hosts]
- [HKCU\SOFTWARE\Far2\Plugins\ftp\hosts]
- [HKCU\SOFTWARE\martin prikryl\winscp 2\sessions]
- [HKLM\SOFTWARE\Wow6432Node\martin prikryl\winscp 2\sessions]
- [HKCU\SOFTWARE\ftpware\coreftp\sites]
- [HKCU\Software\Microsoft\Windows Mail]
- [HKCU\Software\Microsoft\Windows Live Mail]
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\cyum\ereh.exe
- %APPDATA%\etbe\haqo.ohl
- %TEMP%\tmpa9b980ab.bat
- %TEMP%\ppcrlui_2864_2
Удаляет следующие файлы
- %TEMP%\ppcrlui_2864_2
Перемещает следующие файлы
- %APPDATA%\etbe\haqo.ohl в %APPDATA%\etbe\haqo.tmp
Самоудаляется.
Сетевая активность
UDP
- DNS ASK vu####hoto10.com
- DNS ASK vu####hoto20.com
Другое
Ищет следующие окна
- ClassName: 'OutlookExpressHiddenWindow' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\cyum\ereh.exe'
Запускает на исполнение
- '%ProgramFiles%\windows mail\winmail.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\tmpa9b980ab.bat" (со скрытым окном)
