Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'configTJDX' = '%APPDATA%\userdd.com'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- %WINDIR%\syswow64\cmstp.exe
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
- Процесс iexplore.exe, модуль wininet.dll
Патчит код
в динамической библиотеке NTDLL
- Процесс iexplore.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\userdd.com
- %APPDATA%\743pc27b\743logri.ini
- %APPDATA%\743pc27b\743logrg.ini
- %TEMP%\db1
- %APPDATA%\743pc27b\743logro.ini
- %APPDATA%\743pc27b\743logrv.ini
- %APPDATA%\743pc27b\743logim.jpeg
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\userdd.com
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\vault\userprofileroaming\latest.dat
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmstp.exe'
- '%WINDIR%\syswow64\cmd.exe' copy "<Полный путь к файлу>" "%APPDATA%\userdd.com" /V
- '%WINDIR%\syswow64\cmd.exe' del "<Полный путь к файлу>"
- '%WINDIR%\syswow64\cmd.exe' copy "%LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data" "%TEMP%\DB1" /V
- '%WINDIR%\syswow64\cmd.exe' copy "%APPDATA%\Opera Software\Opera Stable\Login Data" "%TEMP%\DB1" /V
