Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'VolID' = 'true'
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\ntvdm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\3175136421.exe
- %WINDIR%\temp\scs1.tmp
- %WINDIR%\temp\scs2.tmp
- %TEMP%\3666171878.exe
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- %ProgramFiles%\volid\license.txt
- %ProgramFiles%\volid\msvbvm60.dll
- %ProgramFiles%\volid\readme.txt
- %ProgramFiles%\volid\vbf.csi
- %ProgramFiles%\volid\volid.chm
- %ProgramFiles%\volid\volid.exe
- %ProgramFiles%\volid\volid.exe.manifest
- %ProgramFiles%\volid\uninstall.exe
- %ProgramFiles%\volid\uninstall.ini
Удаляет следующие файлы
- %WINDIR%\temp\scs1.tmp
- %WINDIR%\temp\scs2.tmp
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
Сетевая активность
Подключается к
- 'ma##r.info':443
TCP
Запросы HTTP GET
- http://ma##r.info/XGu48
UDP
- DNS ASK se##eta.com
- DNS ASK ma##r.info
Другое
Ищет следующие окна
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-e90.e94.370002'
Создает и запускает на исполнение
- '%TEMP%\3666171878.exe'
- '<SYSTEM32>\cmd.exe' /c start /I "" "%TEMP%\3666171878.exe"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c start /I "" "%TEMP%\3175136421.exe"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start /I "" "%TEMP%\3175136421.exe"
- '<SYSTEM32>\ntvdm.exe' -f -i1
- '<SYSTEM32>\cmd.exe' /c start /I "" "%TEMP%\3666171878.exe"
