SpamTool.Win32. MagPlayer.a

Вредоносная программа, предназначенная для сбора адресов электронной почты.

Вредоносная программа, предназначенная для сбора адресов электронной почты. Является приложением Windows (PE EXE-файл). Имеет размер 1175552 байта. Написана на Visual C++.

Инсталляция

При инсталляции вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "MagPlayerWatcher_" = "<имя и путь до исполняемого файла вредоносной программы>"
 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "MagPlayerWatcher_" = "<имя и путь до исполняемого файла вредоносной программы>"

Деструктивная активность

Программа читает значение параметра в ключе реестра:

 [HKCU\Software\RimArts\B2\Settings]
 DataDir
 

Данное значение используется в качестве пути для поиска файла «mailbox.ini», из которого вирус получает значения следующих параметров:

MailAddress
Account
YourName

Вредоносная программа производит поиск файлов с расширением «.mb», где располагаются адреса электронной почты.

Также из подключей ключа реестра [HKCU\Software\Microsoft\Internet Account Manager] извлекаются значения следующих параметров:

SMTP Display Name
SMTP Email Address

Собранные электронные адреса отправляются вирусом на сайт злоумышленника.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.