Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '<LS_APPDATA>\Windows Wins\mswins64.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\findstr.exe' /i explorer.exe
- '<SYSTEM32>\tasklist.exe'
- '<SYSTEM32>\cmd.exe' /c <Полный путь к вирусу>.bat
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\Windows Wins\_ms1.tmp
- <LS_APPDATA>\Windows Wins\mswins64.exe
- <LS_APPDATA>\Windows Wins\mswins64.dll
Удаляет следующие файлы:
- <Полный путь к вирусу>.dat
- <Полный путь к вирусу>.bat
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ya###.##flinewebpage.com':80
- 'ya###.##flinewebpage.com':443
TCP:
Запросы HTTP GET:
- ya###.##flinewebpage.com/windows/update/search?hl#################################################################################
UDP:
- DNS ASK ya###.##flinewebpage.com
