Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'images.jar' = '%APPDATA%\images.jar'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\images.jar
Вредоносные функции
Устанавливает процедуры перехвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %TEMP%\JNativeHook-7432773EB4D09DC286D43FCC77DDB0E1E3BCE2B4.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\images.jar
- %TEMP%\rarsfx0\images2.jar
- %APPDATA%\images.jar
- %APPDATA%\microsoft\crypto\rsa\s-1-5-21-4226853953-3309226944-3078887307-1000\83aa4cc77f591dfc2374580bbd95f6ba_8cf7b530-613e-439b-a8c5-ccfc0e745400
- %TEMP%\jnativehook-1331225701273056506.dll
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\images.jar
Перемещает следующие файлы
- %TEMP%\jnativehook-1331225701273056506.dll в %TEMP%\jnativehook-7432773eb4d09dc286d43fcc77ddb0e1e3bce2b4.dll
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Запускает на исполнение
- '%ProgramFiles%\java\jre1.8.0_77\bin\javaw.exe' -jar "%TEMP%\RarSFX0\images.jar"
- '<SYSTEM32>\reg.exe' ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "images.jar" /d "%APPDATA%\images.jar" /f
- '<SYSTEM32>\attrib.exe' +H %APPDATA%\images.jar
- '<SYSTEM32>\attrib.exe' +H %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\images.jar
