Trojan.PWS.Panda.8304

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{E5F49004-DFC3-5CE1-1426-589F57656634}' = '%APPDATA%\Roaming\Anyhes\eqif.exe'

Вредоносные функции:

Создает и запускает на исполнение:

Запускает на исполнение:

'<SYSTEM32>\conhost.exe' /Processid:{F9717507-6651-4EDB-BFF7-AE615179BCCF}
'<SYSTEM32>\conhost.exe' --HiddenServiceDir "%APPDATA%\Roaming\tor\hidden_service" --HiddenServicePort "55080 127.0.0.1:55080"
'<SYSTEM32>\svchost.exe' ext "%APPDATA%\Roaming\Anyhes\eqif.exe"
'<SYSTEM32>\svchost.exe' ext "<Полный путь к вирусу>"
'<SYSTEM32>\conhost.exe' "ext" "%APPDATA%\Roaming\Anyhes\eqif.exe"

Внедряет код в

следующие системные процессы:

большое количество пользовательских процессов.

Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:

Изменяет следующие настройки браузера Windows Internet Explorer:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1406' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1609' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '1406' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '1609' = '00000000'

Изменения в файловой системе:

Создает следующие файлы:

<LS_APPDATA>\Microsoft\Windows Mail\Local Folders\Sent Items\winmail.fol
<LS_APPDATA>\Microsoft\Windows Mail\Local Folders\Deleted Items\winmail.fol
<LS_APPDATA>\Microsoft\Windows Mail\Local Folders\Outbox\winmail.fol
<LS_APPDATA>\Microsoft\Windows Mail\edb.log
<LS_APPDATA>\Microsoft\Windows Mail\Local Folders\Inbox\winmail.fol
<LS_APPDATA>\Microsoft\Windows Mail\Local Folders\Drafts\winmail.fol
%APPDATA%\Roaming\Microsoft\Protect\S-1-5-21-2832440558-3064306045-1455513625-1000\8279ae2e-075a-4cce-83e8-faca65cc5743
%TEMP%\ppcrlui_2104_2
<LS_APPDATA>\Microsoft\Windows Mail\Local Folders\Inbox\7DD30799-00000001.eml:OECustomProperty
<LS_APPDATA>\Microsoft\Windows Mail\Local Folders\Junk E-mail\winmail.fol
<LS_APPDATA>\Microsoft\Windows Mail\Local Folders\Inbox\7DD30799-00000001.eml
<LS_APPDATA>\Microsoft\Windows Mail\Backup\temp\WindowsMail.pat
%APPDATA%\Roaming\Anyhes\eqif.exe
%TEMP%\OpenCL.dll
%APPDATA%\Roaming\tor\hidden_service\hostname.tmp
%APPDATA%\Roaming\tor\state.tmp
%APPDATA%\Roaming\tor\hidden_service\private_key.tmp
%TEMP%\tmp2ef67fea.bat
<LS_APPDATA>\Microsoft\Windows Mail\edbtmp.log
<LS_APPDATA>\Microsoft\Windows Mail\Backup\temp\edb00002.log
<LS_APPDATA>\Microsoft\Windows Mail\Backup\temp\WindowsMail.MSMessageStore
%APPDATA%\Roaming\Abhywa\qiew.lai
<LS_APPDATA>\Microsoft\Windows Mail\tmp.edb

Удаляет следующие файлы:

Перемещает следующие файлы:

%APPDATA%\Roaming\tor\hidden_service\hostname.tmp в %APPDATA%\Roaming\tor\hidden_service\hostname
<LS_APPDATA>\Microsoft\Windows Mail\edbtmp.log в <LS_APPDATA>\Microsoft\Windows Mail\edb.log
%APPDATA%\Roaming\tor\state.tmp в %APPDATA%\Roaming\tor\state
%APPDATA%\Roaming\tor\hidden_service\private_key.tmp в %APPDATA%\Roaming\tor\hidden_service\private_key

Самоудаляется.

Сетевая активность:

Подключается к: