Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'chrome' = '%APPDATA%\Google Chrome\chrome.exe.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "chrome" /t REG_SZ /F /D "%APPDATA%\Google Chrome\chrome.exe.exe
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe'
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\ITAL2.png
- '<SYSTEM32>\attrib.exe' +s +h <Полный путь к файлу>
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\reg.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- C:\29e9b7f4589a98388a1a0ec3d1b36b97103bda06
- %APPDATA%\Google Chrome\chrome.exe.exe
- %TEMP%\ITAL2.png
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\29e9b7f4589a98388a1a0ec3d1b36b97103bda06
- <Полный путь к файлу>
Сетевая активность:
Подключается к:
- 'fo####i.no-ip.net':6318
UDP:
- DNS ASK fo####i.no-ip.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
