Троян качает из сети самораспаковывающийся архив, содержащий Trojan.Facebook.310 и BackDoor.IRC.Bot.2344, и распаковывает его в папку %PROGRAM_FILES%\Windows Service\. Устанавливает плагины для браузеров Google Chrome и Mozilla Firefox (Trojan.Facebook.310). Запускает вредоносную службу BackDoor.IRC.Bot.2344. Троян упакован с помощью протектора Obsidium и имеет действительную цифорвую подпись Updates LTD.
Вредоносные функции:
- Создает и запускает на исполнение:
- %PROGRAM_FILES%\Windows Service\bkmwcchj.exe Service\bkmwcchj.exe
- %PROGRAM_FILES%\Windows Service\bkmwcchj.exe (загружен из сети Интернет)
- Ищет следующие окна с целью обнаружения утилит для анализа:
- ClassName: 'OLLYDBG' WindowName: ''
Изменения в файловой системе:
- Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\i_FR[1]
- %PROGRAM_FILES%\Windows Service\bkmwcchj.exe
- %PROGRAM_FILES%\Windows Service\wlcomm32.ini
Сетевая активность:
- Подключается к:
- 'localhost':1035
- 'in###l.uni.me':80
- TCP:
- Запросы HTTP GET:
- in###l.uni.me/i_FR
- Запросы HTTP GET:
- UDP:
- DNS ASK in###l.uni.me
Другое:
- Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
