Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'KeApplet' = '"%TEMP%\ke64cleszfi.exe"'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
следующие пользовательские процессы:
- iexplore.exe
- opera.exe
- chrome.exe
- firefox.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\2.m.log
- %TEMP%\1.m.log
- %APPDATA%\Help\ceptr.tll
- %TEMP%\ke64cleszfi.exe
- %APPDATA%\Help\comm.tll
Сетевая активность:
Подключается к:
- 'co########on-claims-helpline.com':80
- 'www.al####akillah.com':80
TCP:
Запросы HTTP POST:
- co########on-claims-helpline.com/in2/g.php
- www.al####akillah.com/tmp/g.php
UDP:
- DNS ASK co########on-claims-helpline.com
- DNS ASK www.al####akillah.com
