Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Hotwells.exe' = '<LS_APPDATA>\Hotwells\Hotwells.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MSMSGS' = '"%PROGRAM_FILES%\Messenger\msmsgs.exe" /background'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MsOffice.exe' = ''
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Seguridad.exe' = ''
Вредоносные функции:
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Microsoft\MessengerService]
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\Hotwells\Hotwells.exe
Сетевая активность:
Подключается к:
- 'ko####t-med.com.pl':80
- 'or#####rajewo.akcja.pl':80
- 'www.in####nights.net':80
- 'ic#######.sportinterface.net':80
- 'www.ff##bbs.at':80
- 'www.al###skanan.net':80
TCP:
Запросы HTTP POST:
- ko####t-med.com.pl/washb.php
- or#####rajewo.akcja.pl/muza/washb.php
- www.in####nights.net/menu/washb.php
- ic#######.sportinterface.net/adonet.php
- www.ff##bbs.at/newpics/adonet.php
- www.al###skanan.net/albums/adonet.php
UDP:
- DNS ASK ko####t-med.com.pl
- DNS ASK or#####rajewo.akcja.pl
- DNS ASK www.in####nights.net
- DNS ASK www.al###skanan.net
- DNS ASK ic#######.sportinterface.net
- DNS ASK www.ff##bbs.at
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
