Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Adobe Flash Player' = '%WINDIR%\flashplayer.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\9047156929392992.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\8DFDF057024880D7A081AFBF6D26B92F
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\8DFDF057024880D7A081AFBF6D26B92F
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\62B5AF9BE9ADC1085C3C56EC07A82BF6
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\62B5AF9BE9ADC1085C3C56EC07A82BF6
- %WINDIR%\flashplayer.exe
- %TEMP%\9047156929392992.exe
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\60E31627FDA0A46932B0E5948949F2A5
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\60E31627FDA0A46932B0E5948949F2A5
Сетевая активность:
Подключается к:
- 'crl.verisign.com':80
- 'cs######0-crl.verisign.com':80
- 'rc#.#rmudut.com':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- crl.verisign.com/pca3-g5.crl
- cs######0-crl.verisign.com/CSC3-2010.crl
- wp#d/wpad.dat
- crl.verisign.com/pca3.crl
UDP:
- DNS ASK crl.verisign.com
- DNS ASK cs######0-crl.verisign.com
- DNS ASK rc#.#rmudut.com
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
