Вредоносная программа, предназначенная для сбора адресов электронной почты.
Инсталляция
При инсталляции вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "MagPlayerWatcher_" = "<имя и путь до исполняемого файла вредоносной программы>" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MagPlayerWatcher_" = "<имя и путь до исполняемого файла вредоносной программы>"
Деструктивная активность
Программа читает значение параметра в ключе реестра:
[HKCU\Software\RimArts\B2\Settings] DataDir
Данное значение используется в качестве пути для поиска файла «mailbox.ini», из которого вирус получает значения следующих параметров:
MailAddress
Account
YourName
Вредоносная программа производит поиск файлов с расширением «.mb», где располагаются адреса электронной почты.
Также из подключей ключа реестра [HKCU\Software\Microsoft\Internet Account Manager] извлекаются значения следующих параметров:
SMTP Display Name
SMTP Email Address
Собранные электронные адреса отправляются вирусом на сайт злоумышленника.