Вредоносная программа, предназначенная для кражи конфиденциальной пользовательской информации программы Inter-PRO Client.
Вредоносная программа, предназначенная для кражи конфиденциальной пользовательской информации программы Inter-PRO Client. Является приложением Windows (PE-EXE файл).
Инсталляция
При запуске программа извлекает из себя и копирует в системный каталог Windows следующие файлы:
%System%\sfcfiles.dllПрограмма создает следующие ключи реестра, в которых в зашифрованном виде хранятся настройки программы:
%System%\drivers\sfc.sys
HKLM\SOFTWARE\Settings\CoreSettings
HKLM\SOFTWARE\Settings\CryptoHash
HKLM\SOFTWARE\Settings\DigitalProductId
HKLM\SOFTWARE\Settings\DriveSettings
HKLM\SOFTWARE\Settings\ErrorControl
HKLM\SOFTWARE\Settings\kernel32
Распространение
Для распостранения по сети программа использует уязвимость MS06-040. Также программа пытается подобрать пароли администратора для соседних компьютеров.
Для распостаранения программа также копирует себя на съемные диски, создавая на них файлы autorun.inf.
name="doc3">
Деструктивная активность
При успешном запуске, программа скачивает обновления по адресу:
http://local-port-connect.com/ortew/page.phpНаходясь в адресном пространстве процесса "intpro.exe", программа перехватывает конфиденциальные данные пользователя, используемые в программном комплексе Inter-PRO Client, и отсылает их на следующий электронный адрес злоумышленника, указанный в теле вредоносной программы:
http://local-port-connect.com/ori/page.php
Также программа содержит в себе драйвер sfc.sys, в задачу которого входит скрытие файлов и ключей реестра вредоносной программы.