Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'installer32' = '%TEMP%\pk\installer32.exe'
Вредоносные функции
Устанавливает процедуры перехвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %TEMP%\pk\installer32hk.dll
оконных сообщений:
- Библиотека-обработчик для всех процессов: %TEMP%\pk\installer32hk.dll
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass', WindowName: ''
- ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\pk.bin
- %TEMP%\rarsfx0\inst.dat
- %TEMP%\rarsfx0\installer32hk.dll
- %TEMP%\rarsfx0\installer32.exe
- %TEMP%\rarsfx0\keygen.exe
- %TEMP%\rarsfx0\rinst.exe
- %TEMP%\keygen.exe
- %TEMP%\pk\pk.bin
- %TEMP%\pk\installer32.exe
- %TEMP%\pk\installer32hk.dll
- %TEMP%\pk\inst.dat
- %TEMP%\pk\rinst.exe
- %TEMP%\pk\pk.bin_back
Удаляет следующие файлы
- %TEMP%\rarsfx0\pk.bin
- %TEMP%\rarsfx0\installer32.exe
- %TEMP%\rarsfx0\installer32hk.dll
- %TEMP%\rarsfx0\inst.dat
- %TEMP%\rarsfx0\rinst.exe
- %TEMP%\pk\pk.bin_back
Перемещает следующие файлы
- %TEMP%\pk\rinst.exe в %TEMP%\pk\installer32r.exe
Другое
Ищет следующие окна
- ClassName: '18467-41' WindowName: ''
- ClassName: '' WindowName: 'PKL Window'
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\rinst.exe'
- '%TEMP%\keygen.exe'
- '%TEMP%\pk\installer32.exe'
