Tool.PassView.
Пока не разобралась толком, но должна тырить пароли. На экспериментальном неча тырить. Но шото пытаетсо, дёргаетсо, аки вша на гребешке! Рассмотрим поподробнее, шо делает, куды влезаить!
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'aj89hby49o' = '%HOMEPATH%\aj89hby49o\47658.vbs'
Вредоносные функции:
Создает и запускает на исполнение:
- '%HOMEPATH%\aj89hby49o\dKKud.com' frPbeL
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /stext "%TEMP%\logff.txt
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [\Software\Microsoft\MSNMessenger]
- [\Software\Microsoft\MessengerService]
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\aj89hby49o\47658.vbs
- %HOMEPATH%\aj89hby49o\95037.cmd
- %TEMP%\logff.txt
- %HOMEPATH%\aj89hby49o\run.vbs
- %HOMEPATH%\aj89hby49o\dKKud.com
- %HOMEPATH%\aj89hby49o\HiMM.WQC
- %HOMEPATH%\aj89hby49o\XqIbrc.IOO
- %HOMEPATH%\aj89hby49o\frPbeL
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\aj89hby49o\XqIbrc.IOO
- %HOMEPATH%\aj89hby49o\47658.vbs
- %HOMEPATH%\aj89hby49o\95037.cmd
- %HOMEPATH%\aj89hby49o\HiMM.WQC
- %HOMEPATH%\aj89hby49o\dKKud.com
- %HOMEPATH%\aj89hby49o\frPbeL
Удаляет следующие файлы:
Сетевая активность:
Подключается к:
- 'www.my#p.ru':80
- 'wp#d':80
- 'sm##.gmail.com':587
TCP:
Запросы HTTP GET:
- www.my#p.ru/en-EN/index.php
- wp#d/wpad.dat
UDP:
- DNS ASK www.my#p.ru
- DNS ASK wp#d
- DNS ASK sm##.gmail.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
Усё, я спать, надоела эта вирусня!
Сами разбирайтесь. Антивирам отослала., Отдетектят и внесут в базы.
Комментарии