Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%APPDATA%\wintrish.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\README-ISHTAR.txt
- <Имя диска съемного носителя>:\ISHTAR.DATA
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ping -n 1 localhost > nul & del /f /q "<Полный путь к файлу>"
- '<SYSTEM32>\ping.exe' -n 1 localhost
- '<SYSTEM32>\cmd.exe' /c "%HOMEPATH%\Desktop\<Имя файла>.docx"
- '%APPDATA%\wintrish.exe'
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Microsoft\Windows Live Mail]
- [<HKCU>\Software\Microsoft\IdentityCRL]
- [<HKCU>\Software\Microsoft\Internet Explorer\IntelliForms\Storage2]
- [<HKCU>\Software\Yahoo\Pager]
- [<HKCU>\Software\Google\Google Talk\Accounts]
- [<HKCU>\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts]
- [<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKCU>\Identities\{5518F2FB-DB74-45A3-BEC1-4575D8D9DC84}\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKCU>\Software\Microsoft\MSNMessenger]
- [<HKCU>\Identities\{5518F2FB-DB74-45A3-BEC1-4575D8D9DC84}\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts]
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Desktop\ISHTAR.DATA
- C:\README-ISHTAR.txt
- C:\Documents
- %HOMEPATH%\Desktop\README-ISHTAR.txt
- C:\ISHTAR.DATA
- %APPDATA%\wintrish.exe
- %HOMEPATH%\Desktop\<Имя файла>.docx
- %APPDATA%\README-ISHTAR.txt
- %APPDATA%\ISHTAR.DATA
Удаляет следующие файлы:
- <Имя диска съемного носителя>:\ISHTAR.DATA
- C:\ISHTAR.DATA
Перемещает следующие файлы:
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\bookmarkbackups\bookmarks-2011-11-10.json в %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\bookmarkbackups\ISHTAR-bookmarks-2011-11-10.json
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\chrome\userChrome-example.css в %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\chrome\ISHTAR-userChrome-example.css
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\chrome\userContent-example.css в %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\chrome\ISHTAR-userContent-example.css
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\sessionstore.js в %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\ISHTAR-sessionstore.js
- %HOMEPATH%\Desktop\<Имя файла>.docx в %HOMEPATH%\Desktop\ISHTAR-<Имя файла>.docx
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\prefs.js в %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\ISHTAR-prefs.js
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\search.json в %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\ISHTAR-search.json
Подменяет следующие файлы:
- <Имя диска съемного носителя>:\ISHTAR.DATA
- C:\ISHTAR.DATA
Самоудаляется.
Сетевая активность:
Подключается к:
- 'bi#.ly':80
TCP:
Запросы HTTP GET:
- http://bi#.ly/2eAo34x
UDP:
- DNS ASK bi#.ly
- DNS ASK www.google.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
