После чего отправляет следующий HTTP запрос:
Получает конфиденциальную информацию пользователя, а именно его логин и пароль от учетной записи, которая зарегистрирована на сервере:
%Users%\%Current User%\AppData\Roaming\QIP\Profiles\
%Documents and Settings%\%Current User%\Application Data\QIP\Profiles\
%Program Files%\QIP Infium\Profiles\
Затем выполняет поиск ".qip" файла с профилем пользователя, который хранится в каталоге "Profiles". Поиск осуществляется по следующим каталогам:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\QIP Infium]
Затем определяет месторасположение установленного IM клиента, прочитав значение параметра "InstallLocation" ключа реестра:
Добавляет в системный реестр следующий ключ:
После запуска вредонос отображает следующее окно:
Деструктивная активность
Вредоносная программа, которая осуществляет сбор конфиденциальной информации пользователей IM клиента "QIP Infium". Является приложением Windows (PE-EXE файл). Имеет размер 1033728 байт. Написана на Delphi.
Технические детали
Описание опубликовано
Время выпуска обновления
Время детектирования
→ →Hoax.Win32.IMPass.ao
Уровень опасности: 1
в описаниях объектов
Hoax.Win32.IMPass.ao - Securelist
Комментариев нет:
Отправить комментарий