Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'UPDATE' = '<SYSTEM32>\update.vbs'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\attrib.exe +H +S update.vbs
- <SYSTEM32>\attrib.exe -H -S <DRIVERS>\etc\hosts
- <SYSTEM32>\wscript.exe "<SYSTEM32>\update.vbs"
- <SYSTEM32>\cmd.exe /c ""<SYSTEM32>\update.bat" "
- <SYSTEM32>\attrib.exe -H -S <DRIVERS>\etc\protocol
- <SYSTEM32>\attrib.exe -H -S <DRIVERS>\etc\services
- <SYSTEM32>\attrib.exe -H -S <DRIVERS>\etc\lmhosts.sam
- <SYSTEM32>\attrib.exe -H -S <DRIVERS>\etc\networks
- <SYSTEM32>\wscript.exe "<SYSTEM32>\setup.vbs"
- <SYSTEM32>\attrib.exe -H -S C:\update.vbs
- <SYSTEM32>\attrib.exe -H -S %WINDIR%\setup.vbs
- <SYSTEM32>\cmd.exe /c ""%TEMP%\setup.bat" > NUL"
- <SYSTEM32>\attrib.exe -H -S C:\setup.vbs
- <SYSTEM32>\attrib.exe -H -S <SYSTEM32>\update.vbs
- <SYSTEM32>\attrib.exe +H +S <SYSTEM32>\setup.vbs
- <SYSTEM32>\attrib.exe -H -S %WINDIR%\update.vbs
- <SYSTEM32>\attrib.exe -H -S <SYSTEM32>\setup.vbs
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\setup.vbs
- <SYSTEM32>\update.bat
- <SYSTEM32>\update.vbs
- %TEMP%\setup.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\setup.vbs
Удаляет следующие файлы:
- <SYSTEM32>\update.bat
- %TEMP%\setup.bat
- <SYSTEM32>\update.vbs
Сетевая активность:
Подключается к:
- '94.##9.188.104':45612
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
