Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] '0ODSOFSFWA' = '%APPDATA%\wSoCdF0p7F.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '0ODSOFSFWA' = '%APPDATA%\wSoCdF0p7F.exe'
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\wSoCdF0p7F.exe
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\wSoCdF0p7F.exe.lnk
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
изменяет следующие системные настройки:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoLogOff' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoRun' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoChangeStartMenu' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoClose' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\AppData\Roaming\semtitulo.cur
- %APPDATA%\link1.cur
- %APPDATA%\select1.cur
- %HOMEPATH%\AppData\Roaming\link1.cur
- %HOMEPATH%\AppData\Roaming\select1.cur
- %HOMEPATH%\AppData\Roaming\arrow1.cur
- %APPDATA%\wSoCdF0p7F.exe
- %APPDATA%\winup00.dat
- %APPDATA%\mp6.txt
- %APPDATA%\arrow1.cur
- %APPDATA%\semtitulo.cur
- %APPDATA%\date.dat
Сетевая активность:
Подключается к:
- 'www.bt###up.co.zw':80
- 'www.me####erecoip.com':80
- 'me##p.eu':80
TCP:
Запросы HTTP GET:
- http://www.me####erecoip.com/
- http://me##p.eu/
Запросы HTTP POST:
- http://www.bt###up.co.zw/spacetel/components/com_media/images/contador/graph.php
UDP:
- DNS ASK www.bt###up.co.zw
- DNS ASK www.me####erecoip.com
- DNS ASK me##p.eu
