Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'asfeader' = 'rundll32 "%APPDATA%\api-nect\Auxithlp.dll",DllRegisterServer'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Microsoft\Internet Account Manager]
- [HKLM\Software\Microsoft\Windows Mail]
- [HKCU\Software\Microsoft\Windows Mail]
- [HKCU\Software\Microsoft\Windows Live Mail]
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\]
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\api-nect\auxithlp.dll
Изменяет следующие файлы
- %APPDATA%\mozilla\firefox\profiles\apc2n9d1.default-release\prefs.js
Самоудаляется.
Сетевая активность
UDP
- DNS ASK va#####vnoedos9302.ru
Другое
Ищет следующие окна
- ClassName: 'ProgMan' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\svchost.exe'
