Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] 'mstwain32' = '%APPDATA%\mstwain32.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Устанавливает процедуры перехвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %APPDATA%\ntdtcstp.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\mstwain32.exe
- %APPDATA%\ntdtcstp.dll
- %APPDATA%\cmsetac.dll
- %LOCALAPPDATA%\microsoft\windows\actioncentercache\windows-systemtoast-securityandmaintenance_10_0.png
Сетевая активность
Подключается к
- '<LOCALNET>.1.3':15963
Другое
Создает и запускает на исполнение
- '%APPDATA%\mstwain32.exe'
Запускает на исполнение
- '%APPDATA%\mstwain32.exe' (со скрытым окном)
