Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'McW' = '"%APPDATA%\iJbpr\Mecu.exe"'
Вредоносные функции:
Запускает на исполнение:
- '%APPDATA%\iJbpr\30EL\tor.exe' --defaults-torrc "torrc-defaults" -f "torrc" DataDirectory "." --quiet
- '%APPDATA%\iJbpr\Mecu.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\iJbpr\30EL\geoip6
- %APPDATA%\iJbpr\30EL\libeay32.dll
- %APPDATA%\iJbpr\30EL\geoip
- %APPDATA%\iJbpr\30EL\torrc-defaults
- %APPDATA%\iJbpr\30EL\zlib1.dll
- %APPDATA%\iJbpr\30EL\libevent_core-2-0-5.dll
- %APPDATA%\iJbpr\p3RM\nr10
- %APPDATA%\iJbpr\30EL\state.tmp
- %APPDATA%\iJbpr\r3\3T
- %APPDATA%\iJbpr\30EL\libevent_extra-2-0-5.dll
- %APPDATA%\iJbpr\r3\VHV
- %APPDATA%\iJbpr\30EL\libgmp-10.dll
- %APPDATA%\iJbpr\30EL\libgmpxx-4.dll
- %APPDATA%\iJbpr\30EL\libgcc_s_sjlj-1.dll
- %APPDATA%\iJbpr\Mecu.exe
- %APPDATA%\iJbpr\30EL\libevent-2-0-5.dll
- %APPDATA%\iJbpr\30EL\libssp-0.dll
- %APPDATA%\iJbpr\30EL\tor.exe
- %APPDATA%\iJbpr\30EL\torrc
- %APPDATA%\iJbpr\30EL\state
- %APPDATA%\iJbpr\30EL\options
- %APPDATA%\iJbpr\30EL\ssleay32.dll
Удаляет следующие файлы:
- %APPDATA%\iJbpr\30EL\state
- %APPDATA%\iJbpr\p3RM\nr10
- %APPDATA%\iJbpr\r3\VHV
Подменяет следующие файлы:
- %APPDATA%\iJbpr\30EL\state
- %APPDATA%\iJbpr\r3\VHV
Сетевая активность:
Подключается к:
- '12#.31.0.39':9101
- '76.##.17.194':9090
- 'localhost':1039
- 'localhost':9151
- '82.##6.54.187':80
TCP:
Запросы HTTP GET:
- http://82.##6.54.187/mdir/niro_32.zip
- http://82.##6.54.187/5XVVHP10R6LuH6mJsAibr3DEMcW3TPrA5XVVHP10R6LuH6mJsAibr3DEMcW3TPrA/0/0/0/0/74/0:0:0/2/
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
