Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '' = '<SYSTEM32>\mpk.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\run.exe
- <SYSTEM32>\conf.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""%TEMP%\2.tmp\run.bat" "
- <SYSTEM32>\reg.exe Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run" /ve /t REG_SZ /d "<SYSTEM32>\mpk.exe" /f
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\1.bat" "
- <SYSTEM32>\rundll32.exe <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen <SYSTEM32>\rov.jpg
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\sqlite3.dll
- <SYSTEM32>\MPK64.dll
- <SYSTEM32>\MPK.dll
- <SYSTEM32>\MPK64.exe
- <SYSTEM32>\key.bin
- <SYSTEM32>\MPK.exe
- <SYSTEM32>\conf.exe
- %TEMP%\2.tmp\run.bat
- %HOMEPATH%\Recent\rov.lnk
- <SYSTEM32>\ssleay32.dll
- <SYSTEM32>\trial_net.ini
- <SYSTEM32>\run.exe
- <SYSTEM32>\rov.jpg
- %TEMP%\1.tmp\MPK64.exe
- %TEMP%\1.tmp\MPK.dll
- %TEMP%\1.tmp\MPK.exe
- %TEMP%\1.tmp\1.bat
- %TEMP%\1.tmp\key.bin
- %TEMP%\1.tmp\MPK64.dll
- %TEMP%\1.tmp\ssleay32.dll
- %TEMP%\1.tmp\trial_net.ini
- %TEMP%\1.tmp\conf.exe
- %TEMP%\1.tmp\rov.jpg
- %TEMP%\1.tmp\run.exe
- %TEMP%\1.tmp\sqlite3.dll
Удаляет следующие файлы:
- %TEMP%\2.tmp\run.bat
Другое:
Ищет следующие окна:
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
