Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'dplafde' = '%APPDATA%\ccfgkmgr\encatrep.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\ccfgkmgr\encatrep.exe' "<Полный путь к файлу>"
- '<Полный путь к файлу>'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /C ""%APPDATA%\ccfgkmgr\encatrep.exe" "<Полный путь к файлу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\62E8\F7.bat" "%APPDATA%\ccfgkmgr\encatrep.exe" "<Полный путь к файлу>""
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\ExampleFO2RTF.java
- %TEMP%\CST6
- %TEMP%\404-2.htm
- %TEMP%\component.xml
- %TEMP%\Adobe-Japan1-5
- %TEMP%\abstract.properties.xml
- %TEMP%\archive_inactive_unhovered.png
- %TEMP%\NsRandom.dll
- %APPDATA%\ccfgkmgr\encatrep.exe
- %TEMP%\nsh5.tmp
- %TEMP%\ebnf.table.border.xml
- %TEMP%\70-yes-bitmaps.conf
- %TEMP%\Balkline.P
- %TEMP%\annotations.xsl
- %TEMP%\7.gif
- %TEMP%\Bl 313 aqua 127 gold.ADO
- %TEMP%\nsf2.tmp
- %TEMP%\Stairhead.kpf
- %TEMP%\ETHK-B5-V
- %TEMP%\3BSYBS1-DCSA_Alerts_05202015040012.xml
- %TEMP%\51-local.conf
- %TEMP%\adcjavas.inc
- %TEMP%\60-latin.conf
- %TEMP%\blue 072 bl 4.ADO
- %TEMP%\calendar.png
- %TEMP%\foilgroup.toc.xml
Другое:
Ищет следующие окна:
- ClassName: 'ProgMan' WindowName: ''
- ClassName: 'Ramadan' WindowName: ''
