Trojan.KeyLogger.25148

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'bpk' = '<SYSTEM32>\bpk.exe'

Вредоносные функции:

Создает и запускает на исполнение:

'<SYSTEM32>\bpk.exe'
'%TEMP%\CP HACK PRO.exe'
'%TEMP%\RarSFX0\rinst.exe'

Устанавливает процедуры перхвата сообщений

о нажатии клавиш клавиатуры:

Библиотека-обработчик для всех процессов: <SYSTEM32>\bpkhk.dll

Ищет следующие окна с целью

обнаружения утилит для анализа:

ClassName: 'RegmonClass' WindowName: '(null)'
ClassName: 'PROCMON_WINDOW_CLASS' WindowName: '(null)'
ClassName: 'FilemonClass' WindowName: '(null)'

Изменения в файловой системе:

Создает следующие файлы:

<SYSTEM32>\dt\2014-04-22_17-24-12-290625
<SYSTEM32>\dt\2014-04-22_17-24-11-289562
<SYSTEM32>\dt\2014-04-22_17-24-10-288640
<SYSTEM32>\dt\2014-04-22_17-24-14-292609
<SYSTEM32>\dt\2014-04-22_17-24-18-296609
<SYSTEM32>\dt\2014-04-22_17-24-17-295578
<SYSTEM32>\dt\2014-04-22_17-24-16-294515
<SYSTEM32>\dt\2014-04-22_17-24-09-287500
<SYSTEM32>\dt\2014-04-22_17-24-03-281640
<SYSTEM32>\dt\2014-04-22_17-24-02-280546
<SYSTEM32>\dt\2014-04-22_17-24-01-279484
<SYSTEM32>\dt\2014-04-22_17-24-05-283593
<SYSTEM32>\dt\2014-04-22_17-24-08-286546
<SYSTEM32>\dt\2014-04-22_17-24-07-285500
<SYSTEM32>\dt\2014-04-22_17-24-06-284500
<SYSTEM32>\dt\2014-04-22_17-24-47-325687
<SYSTEM32>\dt\2014-04-22_17-24-45-323640
<SYSTEM32>\dt\2014-04-22_17-24-42-320859
<SYSTEM32>\dt\2014-04-22_17-24-49-327593
<SYSTEM32>\dt\2014-04-22_17-25-23-361984
<SYSTEM32>\dt\2014-04-22_17-24-52-332765
<SYSTEM32>\dt\2014-04-22_17-24-50-328562
<SYSTEM32>\dt\2014-04-22_17-24-35-314968
<SYSTEM32>\dt\2014-04-22_17-24-22-300593
<SYSTEM32>\dt\2014-04-22_17-24-21-299609
<SYSTEM32>\dt\2014-04-22_17-24-20-298531
<SYSTEM32>\dt\2014-04-22_17-24-23-301625
<SYSTEM32>\dt\2014-04-22_17-24-30-309140
<SYSTEM32>\dt\2014-04-22_17-24-27-305656
<SYSTEM32>\dt\2014-04-22_17-24-25-304187
<SYSTEM32>\dt\2014-04-22_17-24-00-278531
<SYSTEM32>\bpkhk.dll
<SYSTEM32>\bpk.exe
<SYSTEM32>\pk.bin
<SYSTEM32>\bpkwb.dll
<SYSTEM32>\pk.bin_back
<SYSTEM32>\rinst.exe
<SYSTEM32>\inst.dat
%TEMP%\CP HACK PRO.exe
%TEMP%\RarSFX0\bpkhk.dll
%TEMP%\RarSFX0\inst.dat
%TEMP%\RarSFX0\pk.bin
%TEMP%\RarSFX0\bpkwb.dll
%TEMP%\RarSFX0\rinst.exe
%TEMP%\RarSFX0\CP HACK PRO.exe
%TEMP%\RarSFX0\bpk.exe
<SYSTEM32>\dt\2014-04-22_17-23-55-273546
<SYSTEM32>\dt\2014-04-22_17-23-54-272484
<SYSTEM32>\dt\2014-04-22_17-23-52-270609
<SYSTEM32>\dt\2014-04-22_17-23-56-274546
<SYSTEM32>\dt\2014-04-22_17-23-59-277515
<SYSTEM32>\dt\2014-04-22_17-23-58-276640
<SYSTEM32>\dt\2014-04-22_17-23-57-275593
<SYSTEM32>\dt\2014-04-22_17-23-51-269593
<SYSTEM32>\dt\2014-04-22_17-23-38-256484
<SYSTEM32>\dt\2014-04-22_17-23-28-247250
<SYSTEM32>\temporary.bmp
<SYSTEM32>\dt\2014-04-22_17-23-41-259453
<SYSTEM32>\dt\2014-04-22_17-23-50-268515
<SYSTEM32>\dt\2014-04-22_17-23-49-267578
<SYSTEM32>\dt\2014-04-22_17-23-42-260500

Удаляет следующие файлы:

%TEMP%\RarSFX0\CP HACK PRO.exe
%TEMP%\RarSFX0\rinst.exe
<SYSTEM32>\temporary.bmp
<SYSTEM32>\pk.bin_back
%TEMP%\RarSFX0\inst.dat
%TEMP%\RarSFX0\bpk.exe
%TEMP%\RarSFX0\pk.bin
%TEMP%\RarSFX0\bpkwb.dll
%TEMP%\RarSFX0\bpkhk.dll

Перемещает следующие файлы:

<SYSTEM32>\rinst.exe в <SYSTEM32>\bpkr.exe

Сетевая активность:

Подключается к:

'sm##.mail.com':587

UDP:

DNS ASK sm##.mail.com

Другое:

Ищет следующие окна:

ClassName: '(null)' WindowName: 'PKL Window'
ClassName: '18467-41' WindowName: '(null)'
ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
ClassName: 'Indicator' WindowName: '(null)'
ClassName: '(null)' WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
ClassName: 'Shell_TrayWnd' WindowName: '(null)'
ClassName: '(null)' WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
ClassName: '(null)' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'