Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\Shell\Open\Command] '' = 'explorer.exe h%1t%1t%1p%:%/%/%w%w%w%.%1k%1z%11%18%18.%1c%1o%1m%1?%1f'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\omfgyi_70840.exe'
- '%TEMP%\omfgyi_70840.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\omfgyi_70840.exe
- %HOMEPATH%\Desktop\Internet Explorer.lnk
- %HOMEPATH%\Templates\IEXPLORE.EXE.lnk
Перемещает следующие файлы:
- %HOMEPATH%\Templates\IEXPLORE.EXE.lnk в %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
Самоудаляется.
Сетевая активность:
Подключается к:
- '12#.#25.114.144':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- 12#.#25.114.144/index/minidownload/70840
UDP:
- DNS ASK we####.baidu.com
