Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Download Manager2' = '%HOMEPATH%\Downloads\crss.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Document Explorer2' = '%HOMEPATH%\Documents\crss.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Profile Manager2' = '%HOMEPATH%\crss.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %HOMEPATH%\crss.exe
Скрывает следующие процессы:
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\purebot2.sytes[1]
- %HOMEPATH%\crss.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\crss.exe
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\purebot2.sytes[1]
- %HOMEPATH%\crss.exe
Сетевая активность:
Подключается к:
- 'pu####t2.sytes.net':80
TCP:
Запросы HTTP GET:
- pu####t2.sytes.net/
UDP:
- DNS ASK pu####t2.sytes.net
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
