Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'soffty' = '%APPDATA%\Microsoft\soffty.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%APPDATA%\softw\softwaf.exe'
- %HOMEPATH%\Start Menu\Programs\Startup\<Имя вируса>.exe:ZONE.identifier
- %HOMEPATH%\Start Menu\Programs\Startup\<Имя вируса>.exe
- %HOMEPATH%\Start Menu\Programs\Startup\softwaf.exe
- '%TEMP%\wsaprf.exe' "<Текущая директория>-true"
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /f /v "soffty" /t REG_SZ /d "%APPDATA%\Microsoft\soffty.exe
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /stext "%TEMP%\logff.txt
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe
- [<HKCU>\Software\Microsoft\MSNMessenger]
- [<HKCU>\Software\Microsoft\MessengerService]
- %APPDATA%\Microsoft\soffty.exe:ZONE.identifier
- %APPDATA%\Microsoft\soffty.exe
- %APPDATA%\%USERNAME%.txt
- %TEMP%\logff.txt
- <Полный путь к вирусу>:ZONE.identifier
- %APPDATA%\softw\softwaf.exe
- %APPDATA%\softw\softwaf.exe:ZONE.identifier
- %TEMP%\wsaprf.exe
- %APPDATA%\softw\softwaf.exe
- 'wa###fucky.eu':80
- '93.##5.224.45':9003
- 'fr###eoip.net':80
- 'wp#d':80
- 'sm##.gmail.com':587
- wa###fucky.eu/ip.php
- fr###eoip.net/json/
- wp#d/wpad.dat
- DNS ASK fr###eoip.net
- DNS ASK wa###fucky.eu
- DNS ASK wp#d
- DNS ASK sm##.gmail.com
- ClassName: 'Indicator' WindowName: '(null)'