Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Project1' = '%APPDATA%\ausksq\Project1.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Svchost.exe'
- '%TEMP%\RarSFX0\mNaFHU.exe' "Ausksq"
Запускает на исполнение:
- '<SYSTEM32>\dumprep.exe' 2920 -dm 7 7 %TEMP%\WERf2a4.dir00\Svchost.exe.hdmp 16325836412027476
- '<SYSTEM32>\dumprep.exe' 3024 -dm 7 7 %TEMP%\WER29b3.dir00\Svchost.exe.hdmp 16325836412027480
- '<SYSTEM32>\dumprep.exe' 2920 -dm 7 7 %TEMP%\WERf2a4.dir00\Svchost.exe.mdmp 16325836412027472
- '<SYSTEM32>\dumprep.exe' 3024 -dm 7 7 %TEMP%\WER29b3.dir00\Svchost.exe.mdmp 16325836412027476
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\ausksq\Project1.exe
- %APPDATA%\ausksq\1.txt
- %APPDATA%\ausksq\skype.exe
- %APPDATA%\ausksq\nckQen.txt
- %APPDATA%\ausksq\Ausksq
- %APPDATA%\ausksq\2.txt
- %TEMP%\WERf2a4.dir00\Svchost.exe.hdmp
- %TEMP%\WER29b3.dir00\Svchost.exe.hdmp
- %TEMP%\WER29b3.dir00\Svchost.exe.mdmp
- %TEMP%\net.exe
- %TEMP%\WERf2a4.dir00\Svchost.exe.mdmp
- %TEMP%\RarSFX0\bKDvQK.exe
- %TEMP%\nckQen.txt
- %TEMP%\RarSFX0\mNaFHU.exe
- %TEMP%\RarSFX0\Ausksq
- %TEMP%\RarSFX0\nckQen.txt
- %TEMP%\mNaFHU.exe
- %APPDATA%\2902.exe
- %APPDATA%\ausksq\mNaFHU.exe
- %TEMP%\Svchost.exe
- %TEMP%\bKDvQK.exe
- %TEMP%\Ausksq
Удаляет следующие файлы:
- %TEMP%\RarSFX0\mNaFHU.exe
- %TEMP%\RarSFX0\nckQen.txt
- %TEMP%\RarSFX0\Ausksq
- %TEMP%\RarSFX0\bKDvQK.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
