Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'FFCKtvB3gHglyl3qOQ==' = '%APPDATA%\Mozilla\Firefox\reg.exe'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\cscript.exe
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Завершает или пытается завершить
следующие пользовательские процессы:
- safari.exe
- opera.exe
- chrome.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '2500' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1609' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1406' = '00000003'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Mozilla\Firefox\reg.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'qp#######9osfm.www5.main2woo.su':443
- '0z######rz2n6zk.guodeira.cc':443
- 'g3######4uay.main2woo.su':443
- '4k######lbvuj.guodeira.cc':443
- 'sh#######qv48k2w.guodeira.cc':443
- '9r#####bk31.main2woo.su':443
- 'xe######fku8iy.guodeira.cc':443
- 't6#####.www5.guodeira.cc':443
- 'gg####0n.nmbc.cc':443
UDP:
- DNS ASK g2#######cv8j0o.www5.nmbc.cc
- DNS ASK u9#####3.main2woo.su
- DNS ASK g3######4uay.main2woo.su
- DNS ASK f5#######817wyq3x.main2woo.su
- DNS ASK mg#####jponu9.nmbc.cc
- DNS ASK nz###c.nmbc.cc
- DNS ASK ew####mfv.nmbc.cc
- DNS ASK 4k######lbvuj.guodeira.cc
- DNS ASK gg####0n.nmbc.cc
- DNS ASK 9r#####bk31.main2woo.su
- DNS ASK xe######fku8iy.guodeira.cc
- DNS ASK t6#####.www5.guodeira.cc
- DNS ASK qp#######9osfm.www5.main2woo.su
- DNS ASK 0z######rz2n6zk.guodeira.cc
- DNS ASK sh#######qv48k2w.guodeira.cc
