Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdate' = '%APPDATA%\jvt\bqg.exe %APPDATA%\jvt\ecx-okm'
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' -f "%TEMP%\gLev.txt"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' -f "%TEMP%\gwwKvh.txt"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' -f "%TEMP%\VjAABak.txt"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' -f "%TEMP%\qQVUmyU.txt"
- '%APPDATA%\jvt\bqg.exe' %APPDATA%\jvt\ZDEHO
- '%APPDATA%\jvt\bqg.exe' ecx-okm
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' -f "%TEMP%\pJAyJxVq.txt"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKLM>\SOFTWARE\Nero\Installation\Families\Nero 8\Info]
- [<HKLM>\SOFTWARE\O&O\O&O Defrag\8.0\Pro\licenses]
- [<HKLM>\SOFTWARE\PowerQuest\PartitionMagic\8.0\UserInfo]
- [<HKLM>\SOFTWARE\Macromedia\Fireworks\7\Registration]
- [<HKLM>\SOFTWARE\Macromedia\Flash\7\Registration]
- [<HKLM>\SOFTWARE\Ahead\Installation\Families\Nero 7\Info]
- [<HKLM>\SOFTWARE\TechSmith\Camtasia Studio\4.0]
- [<HKLM>\SOFTWARE\TuneUp\Utilities\6.0]
- [<HKLM>\SOFTWARE\TuneUp\Utilities\8.0]
- [<HKLM>\SOFTWARE\Nullsoft\Winamp]
- [<HKCU>\Software\TechSmith\SnagIt\8]
- [<HKLM>\SOFTWARE\TechSmith\SnagIt\8]
- [<HKCU>\Software\RIT\The Bat!]
- [<HKLM>\SOFTWARE\Macromedia\Dreamweaver\7\Registration]
- [<HKCU>\Software\Google\Google Talk\Accounts]
- [<HKCU>\Software\America Online\aim6\Passwords]
- [<HKCU>\Software\Paltalk]
- [<HKCU>\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts]
- [<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKCU>\Software\Microsoft\Windows Live Mail]
- [<HKCU>\Software\IMVU\username]
- [<HKLM>\SOFTWARE\CyberLink\PowerProducer\3.0\UserReg]
- [<HKLM>\SOFTWARE\Elcom\Advanced PDF Password Recovery\Registration]
- [<HKLM>\SOFTWARE\Elcom\Advanced ZIP Password Recovery\Registration]
- [<HKCU>\Software\IMVU\password]
- [<HKCU>\Software\Yahoo\pager]
- [<HKLM>\SOFTWARE\Adobe\Photoshop\7.0\Registration]
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\jvt\rpx.pdf
- %APPDATA%\jvt\wxe.docx
- %APPDATA%\jvt\ZDEHO
- %APPDATA%\jvt\hjr.pdf
- %APPDATA%\jvt\qxm.pdf
- %APPDATA%\jvt\scn.docx
- %TEMP%\c4VR2Wl.bmp
- %TEMP%\qQVUmyU.txt
- %TEMP%\sx_win_bin.tmp
- %TEMP%\VjAABak.txt
- %TEMP%\pJAyJxVq.txt
- %TEMP%\gwwKvh.txt
- %TEMP%\gLev.txt
- %APPDATA%\jvt\qxa.ppt
- %APPDATA%\jvt\kdl.ppt
- %APPDATA%\jvt\dxh.ppt
- %APPDATA%\jvt\pau.ico
- %APPDATA%\jvt\ecx-okm
- %APPDATA%\jvt\bqg.exe
- %APPDATA%\jvt\uju.mp3
- %APPDATA%\jvt\krx.ico
- %APPDATA%\jvt\opv.icm
- %APPDATA%\jvt\tak.bmp
- %APPDATA%\jvt\swl.xl
- %APPDATA%\jvt\gwc.mp3
- %APPDATA%\jvt\eju.jpg
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\jvt\bqg.exe
Удаляет следующие файлы:
- %TEMP%\qQVUmyU.txt
- %TEMP%\sx_win_bin.tmp
- %TEMP%\VjAABak.txt
- %TEMP%\gLev.txt
- %APPDATA%\jvt\ZDEHO
- %TEMP%\pJAyJxVq.txt
- %TEMP%\gwwKvh.txt
Сетевая активность:
Подключается к:
- 'co####xsoftware.com':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- http://co####xsoftware.com/geoip/geoip.php
- http://11#.#11.111.1/wpad.dat via wp#d
UDP:
- DNS ASK co####xsoftware.com
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
