Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\tdl] 'Name' = '%TEMP%\4.tmp'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\pvgwiduyxethemi] 'imagepath' = '%WINDIR%\TEMP\5.tmp'
Вредоносные функции:
Запускает на исполнение:
- '%TEMP%\DcV2.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\3.tmp
- %WINDIR%\Temp\5.tmp
- %TEMP%\DcV1.exe
- %TEMP%\DcV2.exe
Удаляет следующие файлы:
- %WINDIR%\Temp\5.tmp
- %TEMP%\4.tmp
Перемещает следующие файлы:
- %TEMP%\4.tmp в %WINDIR%\Temp\7.tmp
- %TEMP%\DcV2.exe в %TEMP%\6.tmp
- %TEMP%\3.tmp в %TEMP%\4.tmp
