Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wstart' = 'C:\temp\msctrl.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\temp\MinDrv.exe'
- 'C:\temp\Software.exe'
- 'C:\temp\msctrli.exe'
- 'C:\temp\Software.exe' (загружен из сети Интернет)
- 'C:\temp\msctrli.exe' (загружен из сети Интернет)
- 'C:\temp\MinDrv.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- C:\temp\MinDrv.mov
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\Software[1].mov
- C:\temp\Software.mov
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\msctrli[1].mov
- C:\temp\msctrli.mov
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\MinDrv[1].mov
Перемещает следующие файлы:
- C:\temp\Software.mov в C:\temp\Software.exe
- C:\temp\MinDrv.mov в C:\temp\MinDrv.exe
- C:\temp\msctrli.mov в C:\temp\msctrli.exe
Сетевая активность:
Подключается к:
- 'dl.#####oxusercontent.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- dl.#####oxusercontent.com/s/vs3i9649mvocadi/Software.mov
- dl.#####oxusercontent.com/s/3vk4jgip4yp0y9o/MinDrv.mov
- dl.#####oxusercontent.com/s/kgu6thg9slu865t/msctrli.mov
UDP:
- DNS ASK dl.#####oxusercontent.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
