Техническая информация
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Google\Google Talk\Accounts]
- [HKCU\Software\Paltalk]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut368a.tmp
- %TEMP%\demo3.exe
- %TEMP%\ixp000.tmp\demo2.exe
- %TEMP%\sfx.ini
- %TEMP%\ixp000.tmp\demo.exe
- %TEMP%\ixp000.tmp\save.exe
- %LOCALAPPDATA%\xenocode\sandbox\ocx\9.6.2004\2011.03.04t10.49\virtual\stubexe\8.0.1112\@appdatalocal@\temp\ixp000.tmp\save.exe
- %APPDATA%\chrtmp
Удаляет следующие файлы
- %TEMP%\aut368a.tmp
- %TEMP%\sfx.ini
- %TEMP%\ixp000.tmp\demo2.exe
- %TEMP%\ixp000.tmp\demo.exe
- %TEMP%\ixp000.tmp\save.exe
Подменяет следующие файлы
- %TEMP%\sfx.ini
Другое
Создает и запускает на исполнение
- '%TEMP%\demo3.exe'
- '%TEMP%\ixp000.tmp\demo2.exe'
- '%TEMP%\ixp000.tmp\demo.exe'
- '%TEMP%\ixp000.tmp\save.exe'
- '%LOCALAPPDATA%\xenocode\sandbox\ocx\9.6.2004\2011.03.04t10.49\virtual\stubexe\8.0.1112\@appdatalocal@\temp\ixp000.tmp\save.exe'
Запускает на исполнение
- '%TEMP%\ixp000.tmp\demo2.exe' (со скрытым окном)
- '%TEMP%\ixp000.tmp\demo.exe' (со скрытым окном)
- '%TEMP%\ixp000.tmp\save.exe' (со скрытым окном)
