Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'shed.exe Portugal' = '%ALLUSERSPROFILE%\Application Data\UuNnTtIiL\shed.exe'
Вредоносные функции:
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Microsoft\MessengerService]
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\%USERNAME%.txt
- %ALLUSERSPROFILE%\Application Data\UuNnTtIiL\shed.exe
Сетевая активность:
Подключается к:
- '20#.#72.230.174':80
- 'www.su###lite.org':80
- 'gn#####teachings.org':80
- 'www.am#####nlogisticsa.com':80
- 'th####yopinion.org':80
- 'na#####bottledepot.ca':80
TCP:
Запросы HTTP POST:
- 20#.#72.230.174/operabilidade/.,/wab/install.php
- www.su###lite.org/administrator/images/install.php
- gn#####teachings.org/administrator/images/install.php
- www.am#####nlogisticsa.com/administrator/images/filter.php
- th####yopinion.org/administrator/images/filter.php
- na#####bottledepot.ca/administrator/images/filter.php
UDP:
- DNS ASK www.su###lite.org
- DNS ASK gn#####teachings.org
- DNS ASK na#####bottledepot.ca
- DNS ASK www.am#####nlogisticsa.com
- DNS ASK th####yopinion.org
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Chrome_WidgetWin_0' WindowName: ''
- ClassName: 'MozillaUIWindowClass' WindowName: ''
