Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'cryptedinfo' = 'notepad %ALLUSERSPROFILE%\cryptinfo.txt'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'cssys' = '%ALLUSERSPROFILE%\ntserver.exe'
Заражает следующие исполняемые файлы:
- C:\Far2\Plugins\arclite\7zSD.sfx
- C:\Far2\Plugins\FTP\lib\ftpDirList.fll
- C:\Far2\Plugins\FTP\lib\ftpProgress.fll
- C:\Far2\Plugins\arclite\7zS2con.sfx
- C:\Far2\Plugins\arclite\7z.sfx
- C:\Far2\Plugins\arclite\7zCon.sfx
- C:\Far2\Plugins\arclite\7zS2.sfx
Вредоносные функции:
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'GBDYLLO', WindowName: ''
- ClassName: 'OLLYDBG', WindowName: ''
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: 'pediy06', WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- C:\Muldrop\dszqujogp.uyu_0
- C:\Muldrop\dszqujogp.uyu_1
- %ALLUSERSPROFILE%\date_1.txt
- C:\Muldrop\dmp_0x14c_0x20000
- %ALLUSERSPROFILE%\cryptinfo.txt
- %ALLUSERSPROFILE%\start.txt
- C:\Muldrop\dmp_0x14c_0x10000
Самоперемещается:
- из <Полный путь к файлу> в %ALLUSERSPROFILE%\ntserver.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '18467-41' WindowName: ''
