SHA1 8268508e964e02eec1bf45c5cce5bf988d44a9e3
Троянец распространяется с помощью Trojan.LoadMoney.336. Использует следующие библиотеки:
- OpenSSL (1.0.1j)
- jsoncpp (предположительно, одной из устаревших версий)
- std
Внутреннее имя - "start_page", версия - 3.12.
Все функциональные возможности троянца сводятся к установке стартовой страницы браузеров, причем подмена происходит только в том случае, если текущая стартовая страница находится в списке из параметра командной строки.
При запуске троянец проверяет параметры командной строки. Если командная строка троянцу не была передана, он читает параметры из файлов myfile%:args и %myfile%.args. Если командная строка была передана - сохраняет ее в эти файлы.
После разбора командной строки троянец прописывает ссылку на себя в ветвь системного реестра HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce со случайным именем параметра, потом удаляет %myfile%:Zone.Identifier, при следующем запуске он прочитает необходимые параметры из файла.
Способен принимать следующие параметры командной строки:
- spec - зашифрованный список хостов;
- url – ссылка, которая будет установлена в параметрах браузера вида http://***ru/?utm_content=****&utm_source=startpm&utm_term=$__MID. Значение $__MID заменяется на ID машины, полученное значение сохраняется в ветвь реестра в HKCU\Software\Start Page с именем параметра Start Page. Именно эта ссылка будет использоваться для подмены стартовой страницы;
- sha256 - хэш параметров, который троянец проверяет в процессе работы;
- install_url (опционально);
- delay (опционально);
- nowait (опционально);
- nodelete (опционально).
