Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\loger.exe' /stext "\password.txt"
- 'C:\Steam1.exe'
- 'C:\loger.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /im <Имя вируса>.exe
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\del.cmd" "
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Valve\Steam]
Изменения в файловой системе:
Создает следующие файлы:
- C:\Steamorig.bak
- C:\Steam1.exe
- <Текущая директория>\del.cmd
- C:\libeay32.dll
- C:\loger.exe
- C:\msvcr71.dll
- C:\ssleay32.dll
Удаляет следующие файлы:
- <Текущая директория>\del.cmd
- C:\Steamorig.bak
Самоудаляется.
Сетевая активность:
Подключается к:
- 'st####ommunity.com':80
- 'we##le.in':80
TCP:
Запросы HTTP GET:
- we##le.in/components/libeay32.dll
- we##le.in/api.php?do###########################
- st####ommunity.com/
- we##le.in/components/loger.exe
- we##le.in/components/msvcr71.dll
- we##le.in/components/ssleay32.dll
UDP:
- DNS ASK st####ommunity.com
- DNS ASK we##le.in
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
