Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'vpz' = 'C:\recycler\recycler32.exe'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\reg.exe add hklm\software\microsoft\windows\currentversion\run /v vpz /t reg_sz /d "C:\recycler\recycler32.exe" /f
- <SYSTEM32>\ping.exe -n 50 google.com
- <SYSTEM32>\ftp.exe -s:help32.dll
- <SYSTEM32>\msg.exe * installed successfully
- <SYSTEM32>\attrib.exe +h +a +r +s C:\Infected.txt
- <SYSTEM32>\attrib.exe +h +a +r +s recycler32.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\RECYCLER\help32.dll
- C:\RECYCLER\hide.vbs
- C:\RECYCLER\recycler32.exe
- %TEMP%\a66859.bat
- C:\Infected.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\RECYCLER\recycler32.exe
- C:\Infected.txt
- %TEMP%\a66859.bat
Сетевая активность:
Подключается к:
- 'ft#.#oads.biz':21
- 'localhost':1036
UDP:
- DNS ASK ft#.#oads.biz
- DNS ASK google.com
