Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'run' = 'ABC.exe'
Заражает следующие исполняемые системные файлы:
- %WINDIR%\regedit.exe
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c %WINDIR%\17mt.bat
- <SYSTEM32>\wscript.exe "<Текущая директория>\tem.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- C:\17mt.ico
- %WINDIR%\reg.reg
- %WINDIR%\17mt.bat
- <Текущая директория>\Hook.dll
- <SYSTEM32>\1.ime
- <Текущая директория>\tem.vbs
Удаляет следующие файлы:
- <SYSTEM32>\activeds.tlb
- <SYSTEM32>\actxprxy.dll
- <SYSTEM32>\admparse.dll
- <SYSTEM32>\activeds.dll
- <SYSTEM32>\acctres.dll
- <SYSTEM32>\acledit.dll
- <SYSTEM32>\aclui.dll
Сетевая активность:
Подключается к:
- 'localhost':1034
UDP:
- DNS ASK www.ba##u.com
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'IEFrame' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'CicLoaderWndClass' WindowName: ''
- ClassName: '' WindowName: 'Microsoft Internet Explorer'
- ClassName: 'Progman' WindowName: ''
