Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'UserInit' = '<SYSTEM32>\userinit.exe,<SYSTEM32>\taskmgr.com'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\taskMgr] 'Start' = '00000002'
Вредоносные функции:
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG' WindowName: ''
- ClassName: 'FileMonClass' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\taskmgr.com
Сетевая активность:
Подключается к:
- 'sc#####r-001.zapto.org':8080
UDP:
- DNS ASK sc#####r-001.zapto.org
Другое:
Ищет следующие окна:
- ClassName: 'SysListView32' WindowName: ''
- ClassName: '#32770' WindowName: ''
- ClassName: '18467-41' WindowName: ''
