Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{5UR3WO37-QFNP-EMV6-555N-W1Y20I81JBHC}] 'StubPath' = '%ProgramFiles%\ReaderX\AdobeReaderX.exe Restart'
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{5UR3WO37-QFNP-EMV6-555N-W1Y20I81JBHC}] 'StubPath' = '%ProgramFiles%\ReaderX\AdobeReaderX.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'Readeer' = '%ProgramFiles%\ReaderX\AdobeReaderX.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Readeer' = '%ProgramFiles%\ReaderX\AdobeReaderX.exe'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\AdobeReaderX.exe
Вредоносные функции:
Создает и запускает на исполнение:
- '%ProgramFiles%\ReaderX\AdobeReaderX.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\%USERNAME%7
- %TEMP%\%USERNAME%8
- %APPDATA%\88E6680F\ak.tmp
- %ProgramFiles%\ReaderX\AdobeReaderX.exe
- %TEMP%\%USERNAME%2.txt
Удаляет следующие файлы:
- %TEMP%\%USERNAME%7
- %TEMP%\%USERNAME%8
- %TEMP%\%USERNAME%2.txt
Подменяет следующие файлы:
- %TEMP%\%USERNAME%7
- %TEMP%\%USERNAME%8
Сетевая активность:
Подключается к:
- 'up####e.myvnc.com':7777
- 'al#####e.myq-see.com':7777
UDP:
- DNS ASK up####e.myvnc.com
- DNS ASK al#####e.myq-see.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
