Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'RegistryMonitor1' = '<SYSTEM32>\qtplugin.exe'
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\RimArts\B2\Settings]
- [HKCU\SOFTWARE\RIT\The Bat!]
- [HKCU\SOFTWARE\RIT\The Bat!\Users depot]
- [HKCU\Software\Microsoft\Internet Account Manager\Accounts]
- [HKCU\Identities\{1BBA5DCD-58F3-46AE-861D-68CF42722C36}\Software\Microsoft\Internet Account Manager\Accounts]
- [HKLM\Software\Wow6432Node\Microsoft\Internet Account Manager]
- [HKCU\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts]
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings]
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\qtplugin.exe
Сетевая активность
Подключается к
- '89.##9.242.125':80
- '21#.#0.127.7':80
- 'f.##.#ail.yahoo.com':25
UDP
- DNS ASK ho##ail.com
- DNS ASK f.##.#ail.yahoo.com
- DNS ASK Ip###Names.com
- DNS ASK In###netNs.com
