Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'allkeeper' = 'C:\users\Public\conlhost.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\dashborder_96.bmp
- <Имя диска съемного носителя>:\tileimage.bmp
- <Имя диска съемного носителя>:\toolbar.bmp
- <Имя диска съемного носителя>:\dashborder_192.bmp
- <Имя диска съемного носителя>:\default.bmp
- <Имя диска съемного носителя>:\coffee.bmp
- <Имя диска съемного носителя>:\dashborder_120.bmp
- <Имя диска съемного носителя>:\hanni_umami_chapter.doc
- <Имя диска съемного носителя>:\fi51.doc
- <Имя диска съемного носителя>:\uep_form_786_bulletin_1726i602.doc
- <Имя диска съемного носителя>:\508softwareandos.doc
- <Имя диска съемного носителя>:\february_catalogue__2015.doc
- <Имя диска съемного носителя>:\lisp_success.doc
- <Имя диска съемного носителя>:\file_p_00000000_1371597592.docx
- <Имя диска съемного носителя>:\thlps_keeper_mayer_1965.docx
- <Имя диска съемного носителя>:\holycrosschurchinstructions.docx
- <Имя диска съемного носителя>:\aoc_saq_d_v3_merchant.docx
- <Имя диска съемного носителя>:\api-hashmap.html
- <Имя диска съемного носителя>:\adadsi.html
- <Имя диска съемного носителя>:\alert.html
- <Имя диска съемного носителя>:\trivial-merge.html
- <Имя диска съемного носителя>:\parnas_01.jpeg
- <Имя диска съемного носителя>:\13.jpeg
- <Имя диска съемного носителя>:\4f0bf7ff71f28.jpeg
- <Имя диска съемного носителя>:\168.jpg
- <Имя диска съемного носителя>:\pushkin.jpg
- <Имя диска съемного носителя>:\4f0bf7ff71f28.jpg
- <Имя диска съемного носителя>:\dualectls.pdf
- <Имя диска съемного носителя>:\7790_preview.pdf
- <Имя диска съемного носителя>:\2015-02-worms-nanoparticle-toxicity.pdf
- <Имя диска съемного носителя>:\lom602.pdf
- <Имя диска съемного носителя>:\bc01.pdf
- <Имя диска съемного носителя>:\bg_search_box.png
- <Имя диска съемного носителя>:\cleanlyrics.png
- <Имя диска съемного носителя>:\arrow-down.png
- <Имя диска съемного носителя>:\asm.png
- <Имя диска съемного носителя>:\calibre.png
- <Имя диска съемного носителя>:\cbz.png
- <Имя диска съемного носителя>:\writingcompletesarnarrative_1103.ppt
- <Имя диска съемного носителя>:\mappingconcepthubberlin.ppt
- <Имя диска съемного носителя>:\file1.ppt
- <Имя диска съемного носителя>:\proposaltemplates.ppt
- <Имя диска съемного носителя>:\ppswamp.ppt
- <Имя диска съемного носителя>:\metac.ppt
- <Имя диска съемного носителя>:\middaugh_keynote.pptx
- <Имя диска съемного носителя>:\samieee_obiee_presentation.pptx
- <Имя диска съемного носителя>:\hypothyroidism_slides.pptx
- <Имя диска съемного носителя>:\indogerman2010.pptx
- <Имя диска съемного носителя>:\stoc13_ml_quoc_le.pptx
- <Имя диска съемного носителя>:\pandp.rtf
- <Имя диска съемного носителя>:\myhrvoldhanssenbiharfamine.rtf
- <Имя диска съемного носителя>:\phytoremediation.rtf
- <Имя диска съемного носителя>:\fungalnameauthors.rtf
- <Имя диска съемного носителя>:\router_manual.rtf
- <Имя диска съемного носителя>:\guide_reorganization_mapping.xls
- <Имя диска съемного носителя>:\productos.xls
- <Имя диска съемного носителя>:\1sm_price.xls
- <Имя диска съемного носителя>:\calculatorworksheet.xls
- <Имя диска съемного носителя>:\subjectclassification.xls
- <Имя диска съемного носителя>:\2013_smccc_competition_points_jul2013.xlsx
- <Имя диска съемного носителя>:\cee_mmsprogram_summary_public.xlsx
- <Имя диска съемного носителя>:\2013_finalsummaryforweb.xlsx
- <Имя диска съемного носителя>:\national_autism_preparation_programs.xlsx
- <Имя диска съемного носителя>:\applicant.xlsx
- <Имя диска съемного носителя>:\suspendedcompanies.xlsx
- <Имя диска съемного носителя>:\disclosuredetails.xlsx
- <Имя диска съемного носителя>:\calculatorworksheet.zip
- <Имя диска съемного носителя>:\price.zip
- <Имя диска съемного носителя>:\fiche_inscription_2015.zip
- <Имя диска съемного носителя>:\1sm_price.zip
- <Имя диска съемного носителя>:\price030215.zip
- <Имя диска съемного носителя>:\contractualdeadlines.zip
- <Имя диска съемного носителя>:\removedtitles_records.zip
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\1189.jpg
- %HOMEPATH%\desktop\168.jpeg
- %HOMEPATH%\desktop\2.jpeg
- %HOMEPATH%\desktop\4f0bf7ff71f28.jpg
- %HOMEPATH%\desktop\508softwareandos.doc
- %HOMEPATH%\desktop\alert.html
- %HOMEPATH%\desktop\applicantform_en.doc
- %HOMEPATH%\desktop\coffee.bmp
- %HOMEPATH%\desktop\cveuropeo.doc
- %HOMEPATH%\desktop\february_catalogue__2015.doc
- %HOMEPATH%\desktop\hanni_umami_chapter.doc
- %HOMEPATH%\desktop\holycrosschurchinstructions.docx
- %HOMEPATH%\desktop\iisstart.html
- %HOMEPATH%\desktop\pushkin.jpeg
- %HOMEPATH%\desktop\tileimage.bmp
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\del.bat
- C:\users\public\conlhost.exe
- C:\users\public\files
- C:\users\public\testdecrypt
- C:\files_back.txt
- C:\users\files_back.txt
- C:\users\public\files_back.txt
- %HOMEPATH%\files_back.txt
- %HOMEPATH%\favorites\files_back.txt
- %HOMEPATH%\pictures\files_back.txt
- C:\users\public\time.e
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\public\conlhost.exe
- C:\users\public\time.e
Изменяет следующие файлы
- <Имя диска съемного носителя>:\dashborder_96.bmp
- <Имя диска съемного носителя>:\tileimage.bmp
- <Имя диска съемного носителя>:\toolbar.bmp
- <Имя диска съемного носителя>:\dashborder_192.bmp
- <Имя диска съемного носителя>:\default.bmp
- <Имя диска съемного носителя>:\coffee.bmp
- <Имя диска съемного носителя>:\dashborder_120.bmp
- <Имя диска съемного носителя>:\hanni_umami_chapter.doc
- <Имя диска съемного носителя>:\fi51.doc
- <Имя диска съемного носителя>:\uep_form_786_bulletin_1726i602.doc
- <Имя диска съемного носителя>:\508softwareandos.doc
- <Имя диска съемного носителя>:\february_catalogue__2015.doc
- <Имя диска съемного носителя>:\lisp_success.doc
- <Имя диска съемного носителя>:\file_p_00000000_1371597592.docx
- <Имя диска съемного носителя>:\thlps_keeper_mayer_1965.docx
- <Имя диска съемного носителя>:\holycrosschurchinstructions.docx
- <Имя диска съемного носителя>:\aoc_saq_d_v3_merchant.docx
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
Подключается к
- '46.##.169.106':80
- '<DNS_SERVER>':53
UDP
- DNS ASK bl###chain.info
Другое
Создает и запускает на исполнение
- 'C:\users\public\conlhost.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c C:\users\Public\del.bat (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "allkeeper" /t REG_SZ /d "C:\users\Public\conlhost.exe" /f /reg:64 (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' ADD "HKEY_CURRENT_USER\SOFTWARE" /v "crypted" /t REG_SZ /d "1" /reg:64 (со скрытым окном)
