Техническая информация
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Headlight\GetRight\]
- [HKLM\SOFTWARE\FileZilla Client]
- [HKLM\SOFTWARE\Wow6432Node\FileZilla Client]
- [HKCU\SOFTWARE\FileZilla Client]
- [HKCU\Software\RIT\The Bat!]
- [HKLM\Software\FlashFXP]
- [HKLM\Software\Wow6432Node\FlashFXP]
- [HKCU\Software\Headlight\GetRight]
- [HKCU\Software\IMVU]
- [HKCU\Software\mIRC]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\mozilla\firefox\profiles.ini
- %APPDATA%\thunderbird\profiles.ini
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\ccleaner.ini
- %TEMP%\rarsfx0\ccleaner.exe
- %TEMP%\rarsfx0\branding.dll
- %TEMP%\rarsfx0\ccleaner.dat
Сетевая активность
Подключается к
- 'nc#.#vast.com':80
TCP
Запросы HTTP GET
- http://nc#.#vast.com/ncc.txt
UDP
- DNS ASK nc#.#vast.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\ccleaner.exe'
