Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Microsoft Update' = '%TEMP%\skyp\Microsoft Update.lnk'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\sswr\Rar.exe' e -p16509408 nvra.rar
- '<SYSTEM32>\wscript.exe' "C:\sswr\wcdvnb.vbs"
- '%TEMP%\XOUPLG.exe'
- '<SYSTEM32>\wscript.exe' "C:\sswr\jbxqo.vbs"
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""C:\sswr\elkkck.bat" "
- '<SYSTEM32>\netsh.exe' advfirewall set allprofiles state off
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\DPQRXY.jpg
- '<SYSTEM32>\cmd.exe' /c ""C:\sswr\brqaz.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- C:\sswr\vp8encoder.dll
- C:\sswr\wcdvnb.vbs
- C:\sswr\nvra.rar
- C:\sswr\jbxqo.vbs
- C:\sswr\elkkck.bat
- C:\sswr\orkva.reg
- C:\sswr\omzmyjo.exe
- C:\sswr\cqjovddnan.exe
- C:\sswr\brqaz.bat
- %TEMP%\aut2.tmp
- %TEMP%\XOUPLG.exe
- %TEMP%\aut1.tmp
- %TEMP%\ztudxky
- C:\sswr\run.vbs
- C:\sswr\Rar.exe
- %TEMP%\aut3.tmp
- %TEMP%\DPQRXY.jpg
Удаляет следующие файлы:
- %TEMP%\aut3.tmp
- C:\sswr\jbxqo.vbs
- C:\sswr\nvra.rar
- %TEMP%\aut1.tmp
- %TEMP%\ztudxky
- %TEMP%\aut2.tmp
Сетевая активность:
Подключается к:
- 'ba####file.ddns.net':443
UDP:
- DNS ASK ba####file.ddns.net
Другое:
Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
