Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 43000 Octet(s)
Détails techniques:
Méthode d'infection
Lorsqu'il est exécuté, Memwatch-B se copie dans le répertoire %System% en utilisant des noms aléatoires.
Exemple:
Clk7ubTz.exe
KrwH5f.exe
RhqYr.exe
Il modifie une valeur de la base de registre, également avec un nom aléatoire dans le but d'être exécuté à chaque démarrage d'une session utilisateur.
Exemple:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\2JEJA4K5X8WPZD = "C:\WINDOWS\System32\RhqYr.exe"
Il dépose également quelques copies d'un exécutable dans le répertoire %System%, toujours en utilisant des noms aléatoire.
Exemple:
BxkGy8f.exe
FcrS9kPQ.exe
SjsASZ.exe
Smr5.gts
VrvQa.exe
Xho59.exe
Xit05.exe
L'ensemble des fichiers associés à l'adware ont comme attribue "Fichier caché".
Memwatch-B créait également une clé dans la base de registre avec un nom aléatoire.
Exemple:
HKLM\SOFTWARE\2BPLHXX2XRB8JY
Cette clé est utilisée pour stocker des valeurs binaires qui vont être nécessaire à certaines fonctionnalités de l'adware.
Payload
Téléchargement et exécution de fichiers arbitraires
Memwatch-B récupère des informations de mise à jour et de configuration sur le nom de domaine "rads01.quadrogram.com". Le fichier de configuration peut contenir certaines instructions pour le téléchargement et l'exécution de fichiers à distance.
Affichage de publicités
Le fichier de configuration téléchargé contient également des instructions permettant l'affichage de publicités sous forme de pop up via Internet Explorer.