Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Application Service' = '%ALLUSERSPROFILE%\Application Data\Application\ApplicationService.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Application Service' = '%ALLUSERSPROFILE%\Application Data\Application\ApplicationService.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\Application Data\Application\ApplicationLayerService.exe' ag*erhs*t me i1 1: DCc\monuseatd Snt iegt\nRsXUMNVYAAp\ipalicntDot \aoaiMlz\liaeFor\frxfPlosiced\twyg.0e8adlf uCt\ o:uDectm nns aedtSntsiUgN\YRAX\MoVaL celtSntsiAgp\ipalicntDot \aoagGeoClr\mh\oserUDet \aeaaDlf uhtt :t/pn/loke.inegio/lo/gethesis on testing application
- '%ALLUSERSPROFILE%\Application Data\Application\ApplicationLayerService.exe' ag*erhs*t me i1 1: DCc\monuseatd Snt iegt\nRsXUMNVYAAp\ipalicntDot \aoaiMlz\liaeFor\frxfPlosiced\twyg.0e8adlf uCt\ o:uDectm nns aedtSntsiUgN\YRAX\MoVaL celtSntsiAgp\ipalicntDot \aoagGeoClr\mh\oserUDet \aeaaDlf uhtt :t/pn/loke.inegio/lo/ge
- '%ALLUSERSPROFILE%\Application Data\Application\ApplicationService.exe'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\cg.am
- <LS_APPDATA>\nd.am
- <LS_APPDATA>\hd.am
- %ALLUSERSPROFILE%\Application Data\Libraries\shellExtention.dll
- %ALLUSERSPROFILE%\Application Data\Application\ApplicationService.exe
- %ALLUSERSPROFILE%\Application Data\Application\AppSrv.dll
- %ALLUSERSPROFILE%\Application Data\Application\ApplicationLayerService.exe
Сетевая активность:
Подключается к:
- 'localhost':1036
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
