Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'netgod100909' = 'C:\Google\Update0927\hkcmd.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- C:\Google\Update0927\hkcmd.exe Йѕ<Полный путь к вирусу>
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen C:\Google\Update0927\hkcmd.jpg
Изменения в файловой системе:
Создает следующие файлы:
- C:\Google\Update0927\hkcmd.exenet
- %HOMEPATH%\Recent\Update0927.lnk
- C:\Google\Update0927\hkcmd.ldb
- C:\Google\Update0927\hkcmd.exe_b
- C:\Google\Update0927\ipc
- C:\Google\Update0927\hkcmd.chm
- %WINDIR%\win32.btl
- C:\Google\Update0927\hkcmd.exe
- %HOMEPATH%\Recent\hkcmd.lnk
- C:\Google\Update0927\hkcmd.jpg
Удаляет следующие файлы:
- C:\Google\Update0927\ipc
- C:\Google\Update0927\hkcmd.ldb
Самоудаляется.
Сетевая активность:
Подключается к:
- '11######junjiecoco.3322.org':18888
UDP:
- DNS ASK 11######junjiecoco.3322.org
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'WorkerW' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'ComboBoxEx32' WindowName: ''
- ClassName: 'ReBarWindow32' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
