Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ChromeUpdater.exe' = '"%APPDATA%\ChromeUpdater.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\ChromeUpdater.exe'
- '%APPDATA%\exx.exe'
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' 1.1.1.1 -n 1 -w 3
- '<SYSTEM32>\cmd.exe' /C ping 1.1.1.1 -n 1 -w 3 > Nul & Del "%APPDATA%\exx.exe"&"%APPDATA%\ChromeUpdater.exe"
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %APPDATA%\ClZ1GdnXEAAEt2v.jpg
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\ClZ1GdnXEAAEt2v.jpg
- %APPDATA%\ChromeUpdater.exe
- %TEMP%\nsm2.tmp
- %APPDATA%\exx.exe
Удаляет следующие файлы:
- %APPDATA%\exx.exe
Сетевая активность:
Подключается к:
- 'fb#####ter.hopto.org':5552
UDP:
- DNS ASK fb#####ter.hopto.org
Другое:
Ищет следующие окна:
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
