Техническая информация
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Microsoft\Internet Account Manager]
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
- [HKLM\Software\Microsoft\Windows Mail]
- [HKCU\Software\Microsoft\Windows Mail]
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\8584.tmp\8585.tmp\875a.bat
- %LOCALAPPDATA%\microsoft\forms\frmdata64.dat
- %TEMP%\outlook logging\firstrun.log
- %WINDIR%\inf\outlook\outlperf.h
- %WINDIR%\inf\outlook\0009\outlperf.ini
Удаляет следующие файлы
- %TEMP%\8584.tmp\8585.tmp\875a.bat
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Ищет следующие окна
- ClassName: 'mspim_wnd32' WindowName: 'Microsoft Outlook'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\8584.tmp\8585.tmp\875A.bat <Полный путь к файлу>" (со скрытым окном)
- '%ProgramFiles%\microsoft office\office14\outlook.exe' /safe /profile "Outlook"
