Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c """%TEMP%\x.bat"" "<Полный путь к вирусу>" "
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\BPFTP\Bullet Proof FTP\Options]
- [<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Options]
- [<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Main]
- [<HKLM>\Software\FlashFXP]
- [<HKCU>\Software\BPFTP\Bullet Proof FTP\Main]
- [<HKCU>\Software\BPFTP]
- [<HKCU>\Software\South River Technologies\WebDrive\Connections]
- [<HKLM>\Software\South River Technologies\WebDrive\Connections]
- [<HKCU>\Software\FTPWare\COREFTP\Sites]
- [<HKCU>\Software\Sota\FFFTP\Options]
- [<HKCU>\Software\CoffeeCup Software\Internet\Profiles]
- [<HKCU>\Software\Far2\SavedDialogHistory\FTPHost]
- [<HKCU>\Software\Ghisler\Windows Commander]
- [<HKCU>\Software\Far\SavedDialogHistory\FTPHost]
- [<HKCU>\Software\Far\Plugins\FTP\Hosts]
- [<HKCU>\Software\Far2\Plugins\FTP\Hosts]
- [<HKCU>\Software\Ghisler\Total Commander]
- [<HKCU>\Software\FlashFXP]
- [<HKLM>\Software\FlashFXP\3]
- [<HKCU>\Software\FlashFXP\3]
- [<HKLM>\Software\Ghisler\Windows Commander]
- [<HKLM>\Software\Ghisler\Total Commander]
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\x.bat
Самоудаляется.
Сетевая активность:
Подключается к:
- 'fu####gavast.com':80
- 'fu###ngkav.com':80
TCP:
Запросы HTTP POST:
- fu####gavast.com/zzyb0om.php
- fu###ngkav.com/zzyb0om.php
UDP:
- DNS ASK fu####gavast.com
- DNS ASK fu###ngkav.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'k'
- ClassName: '' WindowName: 'z'
