Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'McW' = '"%APPDATA%\iJbpr\Mecu.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\iJbpr\30EL\tor.exe' --defaults-torrc "torrc-defaults" -f "torrc" DataDirectory "." --quiet
- '%APPDATA%\iJbpr\Mecu.exe' -m X5VVP
- '%APPDATA%\iJbpr\Mecu.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\iJbpr\30EL\torrc-defaults
- %APPDATA%\iJbpr\30EL\zlib1.dll
- %APPDATA%\iJbpr\30EL\torrc
- %APPDATA%\iJbpr\30EL\state
- %APPDATA%\iJbpr\30EL\tor.exe
- %APPDATA%\iJbpr\30EL\geoip
- %APPDATA%\iJbpr\30EL\libevent_extra-2-0-5.dll
- %APPDATA%\iJbpr\30EL\state.tmp
- %APPDATA%\iJbpr\30EL\libevent_core-2-0-5.dll
- %APPDATA%\iJbpr\30EL\geoip6
- %APPDATA%\iJbpr\30EL\libeay32.dll
- %APPDATA%\iJbpr\XHH\2860.txt
- %APPDATA%\iJbpr\30EL\libevent-2-0-5.dll
- %APPDATA%\iJbpr\Mecu.exe
- %APPDATA%\iJbpr\XHH\ELh.txt
- %APPDATA%\iJbpr\XHH\2844.txt
- %APPDATA%\iJbpr\30EL\libgcc_s_sjlj-1.dll
- %APPDATA%\iJbpr\30EL\options
- %APPDATA%\iJbpr\30EL\ssleay32.dll
- %APPDATA%\iJbpr\30EL\libssp-0.dll
- %APPDATA%\iJbpr\30EL\libgmp-10.dll
- %APPDATA%\iJbpr\30EL\libgmpxx-4.dll
Удаляет следующие файлы:
- %APPDATA%\iJbpr\30EL\state
- %APPDATA%\iJbpr\XHH\ELh.txt
Подменяет следующие файлы:
- %APPDATA%\iJbpr\30EL\state
- %APPDATA%\iJbpr\XHH\ELh.txt
Сетевая активность:
Подключается к:
- '19#.#3.244.244':443
- '76.##.17.194':9090
- 'localhost':9151
- 'localhost':1038
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
