Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'drd32.exe' = '%TEMP%\drd32.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- drd32.exe
Ищет следующие окна с целью
обнаружения различных программ и игр:
- ClassName: 'TibiaClient', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bot.exe
- %TEMP%\reg32.exe
- %TEMP%\_ir_sf_temp_0\irsetup.exe
- %TEMP%\_ir_sf_temp_0\lua5.1.dll
- %TEMP%\drd32.exe
- %TEMP%\tbi72.dll
- %TEMP%\_ir_sf_temp_0\irsetup.dat
- %TEMP%\_ir_sf_temp_0\irimg1.jpg
- %TEMP%\_ir_sf_temp_0\irimg2.jpg
- %TEMP%\_ir_sf_temp_0\eula.txt
- %APPDATA%\tbi72.dll
Удаляет следующие файлы
- %TEMP%\_ir_sf_temp_0\irsetup.dat
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'TibiaClientPreview' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\reg32.exe'
- '%TEMP%\bot.exe'
- '%TEMP%\_ir_sf_temp_0\irsetup.exe' __IRAOFF:1749498 "__IRAFN:%TEMP%\bot.exe" "__IRCT:3" "__IRTSS:2621767" "__IRSID:S-1-5-21-3691498038-2086406363-2140527554-1000"
- '%TEMP%\drd32.exe'
