Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MSMSGS' = '"%PROGRAM_FILES%\Messenger\msmsgs.exe" /background'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MsOffice.exe' = '%ALLUSERSPROFILE%\Application Data\mentro\MsOffice.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'wlcomm.exe' = ''
Вредоносные функции:
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Microsoft\MessengerService]
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\mentro\MsOffice.exe
- <Текущая директория>\RCX2.tmp
- <Текущая директория>\RCX1.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'si####asfm.com.ar':80
- 'www.av#####asaladero.com.ar':80
- 'or#####sotomayor.com':80
- 'ba##camp.be':80
- 'de##.#ataclinica.cl':80
TCP:
Запросы HTTP POST:
- si####asfm.com.ar/tiago/Mes-003/iwab.php
- www.av#####asaladero.com.ar/galeria/iwab.php
- or#####sotomayor.com/css/filtect.php
- ba##camp.be//300%20dpi/filtect.php
- de##.#ataclinica.cl/web//images/filtect.php
UDP:
- DNS ASK or#####sotomayor.com
- DNS ASK si####asfm.com.ar
- DNS ASK www.av#####asaladero.com.ar
- DNS ASK ba##camp.be
- DNS ASK de##.#ataclinica.cl
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
