Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'HWV Start' = '%WINDIR%\SysWOW64\MXAWUL\HWV.exe'
Вредоносные функции
Устанавливает процедуры перехвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %WINDIR%\SysWOW64\MXAWUL\HWV.001
оконных сообщений:
- Библиотека-обработчик для всех процессов: %WINDIR%\SysWOW64\MXAWUL\HWV.001
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\xenocode\sandbox\scanner tools\20.11.1.06\2011.08.01t09.59\virtual\modified\@programfiles@\xenocode\vmx.dll
- %LOCALAPPDATA%\xenocode\sandbox\scanner tools\20.11.1.06\2011.08.01t09.59\virtual\stubexe\@appdir@\install.exe
- %LOCALAPPDATA%\xenocode\sandbox\scanner tools\20.11.1.06\2011.08.01t09.59\virtual\sxs\manifests\install.exe_0xb6a3807f8c3538a095f305aeab36c410.1.manifest
- %WINDIR%\syswow64\mxawul\hwv.004
- %WINDIR%\syswow64\mxawul\hwv.001
- %WINDIR%\syswow64\mxawul\hwv.002
- %WINDIR%\syswow64\mxawul\akv.exe
- %WINDIR%\syswow64\mxawul\hwv.exe
- %LOCALAPPDATA%\xenocode\sandbox\scanner tools\20.11.1.06\2011.08.01t09.59\native\stubexe\@system@\mxawul\hwv.exe
- %WINDIR%\syswow64\mxawul\hwv.009
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'AKLMW'
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
- ClassName: 'IEFrame' WindowName: ''
Создает и запускает на исполнение
- '%LOCALAPPDATA%\xenocode\sandbox\scanner tools\20.11.1.06\2011.08.01t09.59\virtual\stubexe\@appdir@\install.exe'
- '%LOCALAPPDATA%\xenocode\sandbox\scanner tools\20.11.1.06\2011.08.01t09.59\native\stubexe\@system@\mxawul\hwv.exe'
Запускает на исполнение
- '%LOCALAPPDATA%\xenocode\sandbox\scanner tools\20.11.1.06\2011.08.01t09.59\native\stubexe\@system@\mxawul\hwv.exe' (со скрытым окном)
