Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\nonplacental.vbs
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\FTPWare\COREFTP\Sites\]
- [HKCU\Software\Martin Prikryl\WinSCP 2\Sessions\]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut3190.tmp
- %TEMP%\savager
- %LOCALAPPDATA%\uncolonizing\nonplacental.exe
- %TEMP%\aut42e5.tmp
- %APPDATA%\microsoft\windows\templates\dbs\logindata
- %APPDATA%\microsoft\windows\templates\dbs\webdata
- %APPDATA%\microsoft\windows\templates\dbs\global-messages
- %TEMP%\outlook logging\firstrun.log
- %WINDIR%\inf\outlook\outlperf.h
- %WINDIR%\inf\outlook\outlperf.ini
- %WINDIR%\syswow64\perfstringbackup.tmp
- %WINDIR%\syswow64\perfstringbackup.ini
Сетевая активность
Подключается к
- 'sh##ip.net':80
TCP
Запросы HTTP GET
- http://sh##ip.net/
UDP
- DNS ASK sh##ip.net
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
- ClassName: 'mspim_wnd32' WindowName: 'Microsoft Outlook'
Создает и запускает на исполнение
- '%LOCALAPPDATA%\uncolonizing\nonplacental.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe'
- '%ProgramFiles(x86)%\microsoft office\office16\outlook.exe' -Embedding
