Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\winscp-FTPS\shell\open\command] '' = '"%ProgramFiles%\WinSCP\WinSCP.exe" /Unsafe "%1"'
- [<HKLM>\SOFTWARE\Classes\winscp-FTP\shell\open\command] '' = '"%ProgramFiles%\WinSCP\WinSCP.exe" /Unsafe "%1"'
- [<HKLM>\SOFTWARE\Classes\winscp-HTTPS\shell\open\command] '' = '"%ProgramFiles%\WinSCP\WinSCP.exe" /Unsafe "%1"'
- [<HKLM>\SOFTWARE\Classes\winscp-HTTP\shell\open\command] '' = '"%ProgramFiles%\WinSCP\WinSCP.exe" /Unsafe "%1"'
- [<HKLM>\SOFTWARE\Classes\SCP\shell\open\command] '' = '"%ProgramFiles%\WinSCP\WinSCP.exe" /Unsafe "%1"'
- [<HKLM>\SOFTWARE\Classes\SFTP\shell\open\command] '' = '"%ProgramFiles%\WinSCP\WinSCP.exe" /Unsafe "%1"'
- [<HKLM>\SOFTWARE\Classes\winscp-SCP\shell\open\command] '' = '"%ProgramFiles%\WinSCP\WinSCP.exe" /Unsafe "%1"'
- [<HKLM>\SOFTWARE\Classes\winscp-SFTP\shell\open\command] '' = '"%ProgramFiles%\WinSCP\WinSCP.exe" /Unsafe "%1"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s "%ProgramFiles%\WinSCP\DragExt.dll"
- '%ProgramFiles%\WinSCP\WinSCP.exe' /RegisterForDefaultProtocols
- '%ProgramFiles%\WinSCP\WinSCP.exe' /Usage=TypicalInstallation:1,InstallationsFirstTypical+,InstallationsSilent+,
- '%TEMP%\2622279a-6486-483a-9f6d-fc56d6d97f16\WinSCP_5.7.0_SPS.exe' /S
- '%TEMP%\87105110836780955346\winscp570setup.exe' /VERYSILENT
- '%TEMP%\is-I1TMQ.tmp\winscp570setup.tmp' /SL5="$300DE,5022133,166912,%TEMP%\87105110836780955346\winscp570setup.exe" /VERYSILENT
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKLM>\SOFTWARE\Martin Prikryl]
- [<HKCU>\Software\Martin Prikryl]
Изменения в файловой системе:
Создает следующие файлы:
- %ProgramFiles%\WinSCP\PuTTY\is-V9U8K.tmp
- %ProgramFiles%\WinSCP\PuTTY\is-K2GCP.tmp
- %ProgramFiles%\WinSCP\PuTTY\is-G14IK.tmp
- %ProgramFiles%\WinSCP\is-PKSR5.tmp
- %ProgramFiles%\WinSCP\is-ICUHM.tmp
- %ProgramFiles%\WinSCP\PuTTY\is-HQBGR.tmp
- %ProgramFiles%\WinSCP\unins000.msg
- %ProgramFiles%\WinSCP\unins000.dat
- %HOMEPATH%\SendTo\WinSCP (for upload).lnk
- %ALLUSERSPROFILE%\Start Menu\Programs\WinSCP.lnk
- %ALLUSERSPROFILE%\Desktop\WinSCP.lnk
- %ProgramFiles%\WinSCP\is-7KJ43.tmp
- %TEMP%\is-I1TMQ.tmp\winscp570setup.tmp
- %TEMP%\is-R7ST9.tmp\_isetup\_shfoldr.dll
- %TEMP%\87105110836780955346\winscp570setup.exe
- %WINDIR%\SecuniaPackage.log
- %TEMP%\2622279a-6486-483a-9f6d-fc56d6d97f16\WinSCP_5.7.0_SPS.exe
- %TEMP%\is-R7ST9.tmp\commander.bmp
- %ProgramFiles%\WinSCP\is-E1TP3.tmp
- %ProgramFiles%\WinSCP\is-BLB4N.tmp
- %ProgramFiles%\WinSCP\is-5EOE1.tmp
- %TEMP%\is-R7ST9.tmp\explorer.bmp
- %TEMP%\is-R7ST9.tmp\paypalcard.bmp
Удаляет следующие файлы:
- %TEMP%\is-R7ST9.tmp\paypalcard.bmp
- %TEMP%\is-R7ST9.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-R7ST9.tmp\commander.bmp
- %TEMP%\is-R7ST9.tmp\explorer.bmp
Перемещает следующие файлы:
- %ProgramFiles%\WinSCP\PuTTY\is-G14IK.tmp в %ProgramFiles%\WinSCP\PuTTY\LICENCE
- %ProgramFiles%\WinSCP\is-ICUHM.tmp в %ProgramFiles%\WinSCP\DragExt.dll
- %ProgramFiles%\WinSCP\PuTTY\is-V9U8K.tmp в %ProgramFiles%\WinSCP\PuTTY\putty.hlp
- %ProgramFiles%\WinSCP\PuTTY\is-HQBGR.tmp в %ProgramFiles%\WinSCP\PuTTY\puttygen.exe
- %ProgramFiles%\WinSCP\PuTTY\is-K2GCP.tmp в %ProgramFiles%\WinSCP\PuTTY\pageant.exe
- %ProgramFiles%\WinSCP\is-E1TP3.tmp в %ProgramFiles%\WinSCP\WinSCP.exe
- %ProgramFiles%\WinSCP\is-5EOE1.tmp в %ProgramFiles%\WinSCP\unins000.exe
- %ProgramFiles%\WinSCP\is-BLB4N.tmp в %ProgramFiles%\WinSCP\WinSCP.com
- %ProgramFiles%\WinSCP\is-PKSR5.tmp в %ProgramFiles%\WinSCP\license.txt
- %ProgramFiles%\WinSCP\is-7KJ43.tmp в %ProgramFiles%\WinSCP\WinSCP.map
Сетевая активность:
Подключается к:
- 'wi##cp.net':80
TCP:
Запросы HTTP GET:
- http://wi##cp.net/install.php?in############################################
UDP:
- DNS ASK wi##cp.net
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
