Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'update.secure' = '<SYSTEM32>\taskeng.exe'
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{98216E7A-8176-8F15-DFDA-82FDDF08C4A6}] 'StubPath' = '<SYSTEM32>\taskeng.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Memory.exe'
- '%TEMP%\here.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c C:\melt1.bat
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: ''
- ClassName: 'RegMonClass' WindowName: ''
- ClassName: 'FileMonClass' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\taskeng.exe
- C:\melt1.bat
- %TEMP%\here.exe
- %TEMP%\Memory.exe
Удаляет следующие файлы:
- %TEMP%\here.exe
Сетевая активность:
Подключается к:
- 'up####.servegame.com':6001
UDP:
- DNS ASK up####.servegame.com
Другое:
Ищет следующие окна:
- ClassName: 'ThunderRT6FormDC' WindowName: ''
- ClassName: 'ThunderRT6FormDC' WindowName: 'Shareware Cheater v 3.0'
- ClassName: 'Shell_TrayWnd' WindowName: ''
