Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'EDKAPX' = '<LS_APPDATA>\EDKAPX\EDKAPXNEO.vbs'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\regsvr32.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\edkapxree.exe
- %APPDATA%\edkapx.bmp
- %HOMEPATH%\pictures\edkapx.sys
- %HOMEPATH%\contacts\edkapxpok.exe
- %HOMEPATH%\pictures\edkapx.bmp
- <LS_APPDATA>\edkapx\edkapxkat.bat
- <LS_APPDATA>\edkapx\edkapxneo.vbs
- %APPDATA%\remcos\logs.dat
Удаляет следующие файлы
- %HOMEPATH%\pictures\edkapx.sys
Сетевая активность
UDP
- DNS ASK cu###wap.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\edkapxree.exe'
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe'
