Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- update~1.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Google\Google Talk\Accounts]
- [HKCU\Software\Paltalk]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\update~1.exe
- %TEMP%\ixp000.tmp\winrar~2.exe
- %APPDATA%\chrtmp
Удаляет следующие файлы
- %TEMP%\ixp000.tmp\update~1.exe
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\update~1.exe'
- '%TEMP%\ixp000.tmp\winrar~2.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 5 && del %TEMP%\IXP000.TMP\UPDATE~1.EXE (со скрытым окном)
- '%WINDIR%\syswow64\timeout.exe' 5
