Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'JSIModule' = 'rundll32.exe "%TEMP%\JS1.tmp",InstallHook'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe "%TEMP%\JS1.tmp",InstallHook
Завершает или пытается завершить
следующие пользовательские процессы:
- chrome.exe
- firefox.exe
- iexplore.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Desktop\Profile Craze.lnk
- %TEMP%\JS1.tmp
Сетевая активность:
Подключается к:
- 'me###.#rofilecraze.com':80
TCP:
Запросы HTTP GET:
- me###.#rofilecraze.com/misc/xml/install.xml
UDP:
- DNS ASK me###.#rofilecraze.com
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
