Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdates' = '%WINDIR%\winupdatex.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\winupdatex.exe' <Полный путь к вирусу>
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' start sharedaccess
- '<SYSTEM32>\alg.exe'
- '<SYSTEM32>\net1.exe' stop sharedaccess
- '<SYSTEM32>\reg.exe' ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WindowsUpdates /t REG_SZ /d %WINDIR%\winupdatex.exe
- '<SYSTEM32>\net.exe' stop sharedaccess
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\%USERNAME%.txt
- %WINDIR%\winupdatex.exe
Удаляет следующие файлы:
- %TEMP%\%USERNAME%.txt
Сетевая активность:
Подключается к:
- 'ft#.#bwarez.com':21
UDP:
- DNS ASK ft#.#bwarez.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: '(null)'
