Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'tempfile.exe' = '%APPDATA%\mbr\veu.exe %APPDATA%\mbr\kwx-cvg'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\mbr\erh.txt
- %APPDATA%\mbr\apo.docx
- %APPDATA%\mbr\hos.ico
- %APPDATA%\mbr\qbf.dat
- %APPDATA%\mbr\the.dat
- %APPDATA%\mbr\wkx.pdf
- %APPDATA%\mbr\eku.pdf
- %APPDATA%\mbr\hxw.txt
- %APPDATA%\mbr\hhw.xl
- %APPDATA%\mbr\wfs.jpg
- %APPDATA%\mbr\baf.ico
- %APPDATA%\mbr\ANRTQ
- %APPDATA%\mbr\etg.jpg
- %APPDATA%\mbr\kpr.ppt
- %APPDATA%\mbr\fte.icm
- %APPDATA%\mbr\uov.jpg
- %APPDATA%\mbr\mih.pdf
- %APPDATA%\mbr\nec.txt
- %APPDATA%\mbr\adt.mp4
- %APPDATA%\mbr\kda.ppt
- %APPDATA%\mbr\mtl.ico
- %APPDATA%\mbr\uvk.pdf
- %APPDATA%\mbr\xrl.dat
- %APPDATA%\mbr\kwx-cvg
- %APPDATA%\mbr\gvu.ppt
- %APPDATA%\mbr\bub.ppt
- %APPDATA%\mbr\veu.exe
- %APPDATA%\mbr\wto.mp4
- %APPDATA%\mbr\msv.xl
- %APPDATA%\mbr\bwb.mp3
- %APPDATA%\mbr\rcv.mp3
- %APPDATA%\mbr\ttd.bmp
- %APPDATA%\mbr\crh.ico
- %APPDATA%\mbr\hrs.dat
- %APPDATA%\mbr\jnx.mp3
- %APPDATA%\mbr\sfk.mp3
Удаляет следующие файлы:
- %APPDATA%\mbr\ANRTQ
Сетевая активность:
Подключается к:
- 'ms#####y098.ddns.net':2215
UDP:
- DNS ASK ms#####y098.ddns.net
Другое:
Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение:
- '%APPDATA%\mbr\veu.exe' %APPDATA%\mbr\ANRTQ
- '%APPDATA%\mbr\veu.exe' kwx-cvg
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe'
