Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'yiCrfu' = 'C:\yiCrfuyiCrfu\yiCrfu.vbs'
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe'
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe'
- '%APPDATA%\y4ody\k5ki7.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\yiCrfuyiCrfu\x
- C:\yiCrfuyiCrfu\yiCrfu.exe
- %APPDATA%\23EF5514-3059-436F-A4A7-4CEFAAB20EB1\run.dat
- C:\yiCrfuyiCrfu\yiCrfu.vbs
- %APPDATA%\y4ody\k5ki7.exe
- %APPDATA%\y4ody\x
- %APPDATA%\yiCrfu
Сетевая активность:
Подключается к:
- 'www.dr##box.com':443
- 'localhost':1039
- '18#.#2.221.11':1602
UDP:
- DNS ASK www.dr##box.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
