Вредоносная программа, предназначенная для кражи конфиденциальной пользовательской информации программы Inter-PRO Client.
Вредоносная программа, предназначенная для кражи конфиденциальной пользовательской информации программы Inter-PRO Client. Является приложением Windows (PE-EXE файл).
При запуске программа извлекает из себя и копирует в системный каталог Windows следующие файлы:
%System%\sfcfiles.dllПрограмма создает следующие ключи реестра, в которых в зашифрованном виде хранятся настройки программы:
%System%\drivers\sfc.sys
HKLM\SOFTWARE\Settings\CoreSettings
HKLM\SOFTWARE\Settings\CryptoHash
HKLM\SOFTWARE\Settings\DigitalProductId
HKLM\SOFTWARE\Settings\DriveSettings
HKLM\SOFTWARE\Settings\ErrorControl
HKLM\SOFTWARE\Settings\kernel32
Для распостранения по сети программа использует уязвимость MS06-040. Также программа пытается подобрать пароли администратора для соседних компьютеров.
Для распостаранения программа также копирует себя на съемные диски, создавая на них файлы autorun.inf.
При успешном запуске, программа скачивает обновления по адресу:
http://local-port-connect.com/ortew/page.phpНаходясь в адресном пространстве процесса “intpro.exe”, программа перехватывает конфиденциальные данные пользователя, используемые в программном комплексе Inter-PRO Client, и отсылает их на следующий электронный адрес злоумышленника, указанный в теле вредоносной программы:
http://local-port-connect.com/ori/page.php
Также программа содержит в себе драйвер sfc.sys, в задачу которого входит скрытие файлов и ключей реестра вредоносной программы.
На перекрестке науки и фантазии — наш канал