Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '.exe' = '"%TEMP%\.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\.exe'
- '%TEMP%\SPEC2MXEWEEBGXRDBLNMGT6YSYVRHOLK..EXE'
- '%TEMP%\JFABLZ2RRCQL48KV9IFTSLOHYQQMIVHG..EXE'
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' 1.1.1.1 -n 1 -w 3
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\.exe
- %TEMP%\SPEC2MXEWEEBGXRDBLNMGT6YSYVRHOLK..EXE
- %TEMP%\370EB.dmp
- %TEMP%\dw.log
- %TEMP%\aut1.tmp
- <Полный путь к вирусу>:Zone.Identifier
- %TEMP%\JFABLZ2RRCQL48KV9IFTSLOHYQQMIVHG..EXE
- %TEMP%\temp
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\.exe
Удаляет следующие файлы:
- %TEMP%\JFABLZ2RRCQL48KV9IFTSLOHYQQMIVHG..EXE
- %TEMP%\aut1.tmp
Сетевая активность:
Подключается к:
- 'wi######kupdate.no-ip.org':1000
UDP:
- DNS ASK wi######kupdate.no-ip.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
