Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'B7GGEY1ZRR' = '<Полный путь к вирусу>'
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
Изменения в файловой системе:
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
Сетевая активность:
Подключается к:
- 'al###gspot.com':80
TCP:
Запросы HTTP POST:
- al###gspot.com/borders.php
UDP:
- DNS ASK go##le.cl
- DNS ASK al###gspot.com
- DNS ASK ne##ux.com
- DNS ASK so###nic.com
Другое:
Ищет следующие окна:
- ClassName: '1766042137' WindowName: '316127874'
- ClassName: '960102625' WindowName: '430066279'
- ClassName: '1306694165' WindowName: '494171248'
- ClassName: '1016643808' WindowName: '24627301'
- ClassName: '541439229' WindowName: '647708403'
- ClassName: '2135662649' WindowName: '1290275105'
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '1289083711' WindowName: '591301186'
- ClassName: '1922351159' WindowName: '834969880'
- ClassName: '1008701429' WindowName: '579381198'
- ClassName: '637670480' WindowName: '1997006738'
- ClassName: '1928457052' WindowName: '1124191955'
- ClassName: '27151573' WindowName: '1046861870'
- ClassName: '716153120' WindowName: '1904666530'
- ClassName: '460496605' WindowName: '101929043'
- ClassName: '555445440' WindowName: '933536709'
- ClassName: '576333287' WindowName: '311040901'
- ClassName: '540800710' WindowName: '2057465314'
- ClassName: '394590785' WindowName: '1756556105'
- ClassName: '1710672108' WindowName: '1893229219'
- ClassName: '890570268' WindowName: '2037912208'
- ClassName: '1615307858' WindowName: '280839073'
