Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\svchost.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
- %WINDIR%\Explorer.EXE
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [\REGISTRY\USER\SOFTWARE\Far\Plugins\FTP\Hosts]
- [<HKLM>\SOFTWARE\Far\Plugins\FTP\Hosts]
- [<HKCU>\Software\Sota\FFFTP\Options]
- [<HKCU>\SOFTWARE\Far\Plugins\FTP\Hosts]
- [<HKCU>\Software\CoffeeCup Software\Internet\Profiles]
- [\REGISTRY\USER\Software\CoffeeCup Software\Internet\Profiles]
- [<HKLM>\Software\CoffeeCup Software\Internet\Profiles]
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wbem\proquota.exe
- %TEMP%\~TM5.tmp
- %TEMP%\~TM6.tmp
- %TEMP%\~TM81EC3F.TMP
- %TEMP%\~TM1.tmp
- %TEMP%\~TM2.tmp
- %TEMP%\~TM3.tmp
Удаляет следующие файлы:
- <SYSTEM32>\dllcache\proquota.exe
- <SYSTEM32>\proquota.exe
- %TEMP%\~TM6.tmp
- %TEMP%\~TM5.tmp
- %TEMP%\~TM2.tmp
- %TEMP%\~TM1.tmp
- %TEMP%\~TM81EC3F.TMP
- %TEMP%\~TM3.tmp
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\~TM4.tmp
Сетевая активность:
Подключается к:
- 'ii#.lc':80
TCP:
Запросы HTTP POST:
- ii#.lc/css/receiver/online
UDP:
- DNS ASK ii#.lc
