Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Taskman' = '%APPDATA%\vfbu.exe'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: ''
- ClassName: 'RegMonClass' WindowName: ''
- ClassName: 'FileMonClass' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\vfbu.exe
- %TEMP%\B42CE9E6.TMP
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\vfbu.exe
Сетевая активность:
UDP:
- DNS ASK up####windows.net
- DNS ASK ʔP#�
- DNS ASK _�##��
- DNS ASK li####dates2000.com
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'Progman' WindowName: ''
