SpamTool.Win32. MagPlayer.a

Вредоносная программа, предназначенная для сбора адресов электронной почты. Является приложением Windows (PE EXE-файл). Имеет размер 1175552 байта. Написана на Visual C++.

Инсталляция

При инсталляции вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "MagPlayerWatcher_" = "<имя и путь до исполняемого файла вредоносной программы>"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "MagPlayerWatcher_" = "<имя и путь до исполняемого файла вредоносной программы>"

Деструктивная активность

Программа читает значение параметра в ключе реестра:

  [HKCU\Software\RimArts\B2\Settings]
  DataDir
  

Данное значение используется в качестве пути для поиска файла «mailbox.ini», из которого вирус получает значения следующих параметров:

MailAddress
Account
YourName

Вредоносная программа производит поиск файлов с расширением «.mb», где располагаются адреса электронной почты.

Также из подключей ключа реестра [HKCU\Software\Microsoft\Internet Account Manager] извлекаются значения следующих параметров:

SMTP Display Name
SMTP Email Address

Собранные электронные адреса отправляются вирусом на сайт злоумышленника.