Техническая информация
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\SOFTWARE\RIT\The Bat!]
- [HKCU\SOFTWARE\Mirabilis\ICQ\NewOwners]
- [HKLM\SOFTWARE\Wow6432Node\Miranda]
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
- [HKCU\Software\Ghisler\Windows Commander]
- [HKCU\Software\Ghisler\Total Commander]
- [HKLM\Software\Wow6432Node\Ghisler\Windows Commander]
- [HKLM\Software\Wow6432Node\Ghisler\Total Commander]
- [HKCU\Software\RimArts\B2\Settings]
- [HKCU\Software\Microsoft\Internet Account Manager\Accounts]
- [HKCU\SOFTWARE\Far\Plugins\FTP\Hosts]
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
- [HKCU\Software\FileZilla]
- [HKLM\SOFTWARE\Wow6432Node\FlashFXP\3]
- [HKCU\Software\CoffeeCup Software\Internet\Profiles]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\thunderbird\profiles.ini
- %APPDATA%\mozilla\firefox\profiles.ini
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1.exe
- %TEMP%\handypassword.exe
- %TEMP%\nsy9637.tmp\userinfo.dll
- %TEMP%\nsy9637.tmp\langdll.dll
Сетевая активность
UDP
- DNS ASK do##tan.com
Другое
Ищет следующие окна
- ClassName: 'VMDragDetectWndClass' WindowName: ''
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\1.exe'
- '%TEMP%\handypassword.exe'
Запускает на исполнение
- '%TEMP%\1.exe' (со скрытым окном)
- '%TEMP%\handypassword.exe' (со скрытым окном)
