Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\npp\Config.\svchost.exe
- <SYSTEM32>\npp\Config.\rn.exe
- <SYSTEM32>\npp\Config.\<Имя вируса>.exe
Запускает на исполнение:
- %WINDIR%\regedit.exe
- <SYSTEM32>\regedt32.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKLM>\SOFTWARE\Microsoft\MessengerService]
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\npp\Config.\rn.exe
- <SYSTEM32>\npp\Config.\svchost.exe1
- <SYSTEM32>\npp\Config.\svchost.exe
- C:\A1.TXT
- <SYSTEM32>\npp\Config.\<Имя вируса>.exe
- <SYSTEM32>\npp\Config.\drivermem.sys
Удаляет следующие файлы:
- <SYSTEM32>\npp\Config.\rn.exe
- <SYSTEM32>\npp\Config.\drivermem.sys
- <SYSTEM32>\npp\Config.\<Имя вируса>.exe
- <SYSTEM32>\npp\Config.\svchost.exe1
Самоудаляется.
Сетевая активность:
Подключается к:
- 'mm####eo.gicp.net':80
TCP:
Запросы HTTP GET:
- mm####eo.gicp.net/ppm/GetWebSite.asp
UDP:
- DNS ASK mm####eo.gicp.net
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
