Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdate' = '%APPDATA%\sgm\bhh.exe %APPDATA%\sgm\slj-his'
Вредоносные функции:
Запускает на исполнение:
- '%APPDATA%\sgm\bhh.exe' %APPDATA%\sgm\SEPTN
- '%APPDATA%\sgm\bhh.exe' slj-his
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\sgm\qjd.ppt
- %APPDATA%\sgm\wnb.icm
- %APPDATA%\sgm\hel.docx
- %APPDATA%\sgm\nts.txt
- %APPDATA%\sgm\oap.jpg
- %APPDATA%\sgm\cci.xl
- %APPDATA%\sgm\los.mp3
- %APPDATA%\sgm\bsp.docx
- %APPDATA%\sgm\ixa.docx
- %APPDATA%\sgm\nma.docx
- %APPDATA%\sgm\dps.jpg
- %APPDATA%\sgm\hxx.mp3
- %APPDATA%\sgm\vrq.mp3
- %APPDATA%\sgm\vat.txt
- %APPDATA%\sgm\SEPTN
- %APPDATA%\sgm\xxq.xl
- %APPDATA%\sgm\xeh.mp4
- %APPDATA%\sgm\bec.txt
- %APPDATA%\sgm\iqv.mp4
- %APPDATA%\sgm\pph.ico
- %APPDATA%\sgm\hpp.mp4
- %APPDATA%\sgm\bvx.docx
- %APPDATA%\sgm\xwj.xl
- %APPDATA%\sgm\ils.pdf
- %APPDATA%\sgm\rmm.xl
- %APPDATA%\sgm\jcd.dat
- %APPDATA%\sgm\tnp.jpg
- %APPDATA%\sgm\qme.dat
- %APPDATA%\sgm\slj-his
- %APPDATA%\sgm\inr.jpg
- %APPDATA%\sgm\bhh.exe
- %APPDATA%\sgm\xkx.mp3
- %APPDATA%\sgm\ifc.xl
- %APPDATA%\sgm\bec.icm
- %APPDATA%\sgm\bot.pdf
- %APPDATA%\sgm\mhj.ico
- %APPDATA%\sgm\lqq.ppt
- %APPDATA%\sgm\rif.ppt
- %APPDATA%\sgm\dan.dat
- %APPDATA%\sgm\irx.jpg
- %APPDATA%\sgm\jdq.ico
- %APPDATA%\sgm\chl.mp4
- %APPDATA%\sgm\knm.txt
- %APPDATA%\sgm\pri.mp4
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\sgm\bhh.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
