Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run\] 'Microsoft Defender' = '"%ALLUSERSPROFILE%\userProcesso.exe"'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'Microsoft Defender' = '"%ALLUSERSPROFILE%\userProcesso.exe"'
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
- [HKCU\Software\Microsoft\Internet Account Manager]
- [HKLM\Software\Microsoft\Windows Mail]
- [HKCU\Software\Microsoft\Windows Mail]
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\userprocesso.exe
- %LOCALAPPDATA%\microsoft\forms\frmdata64.dat
- %TEMP%\outlook logging\firstrun.log
- %WINDIR%\inf\outlook\outlperf.h
- %WINDIR%\inf\outlook\0009\outlperf.ini
Сетевая активность
Подключается к
- '20#.#8.64.225':82
Другое
Ищет следующие окна
- ClassName: 'mspim_wnd32' WindowName: 'Microsoft Outlook'
- ClassName: 'rencat' WindowName: ''
Перезапускает анализируемый образец
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\outlook.exe' -Embedding
