Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Dump' = '%PROGRAM_FILES%\Dump\Dump.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\UnzipService] 'ImagePath' = 'System32\Mseus.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\UnzipService] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Mseu] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\Regini.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\mseus.ini
- <SYSTEM32>\mseus.exe
- %TEMP%\Instdrv.exe
- <SYSTEM32>\ainf.inf
- <SYSTEM32>\tokset.dll
- %TEMP%\Mseu.ini
- %PROGRAM_FILES%\Dump\Dump.exe
- <DRIVERS>\Mstart.sys
- %TEMP%\Dump.ini
- <DRIVERS>\Mseu.sys
- %TEMP%\Regini.exe
Удаляет следующие файлы:
- %TEMP%\mseus.ini
- %TEMP%\Instdrv.exe
- %TEMP%\Mseu.ini
- %TEMP%\Regini.exe
- %TEMP%\Dump.ini
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
