Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'mn' = '%TEMP%\\dd.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'mn' = '%TEMP%\\da.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'startup' = '%TEMP%\\me.exe'
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\pop.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\regasm.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
- %WINDIR%\microsoft.net\framework\v2.0.50727\regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\pop.exe
- %TEMP%\dd.exe
- %TEMP%\aut41dd.tmp
- %TEMP%\onfgxq.exe
- %TEMP%\aut4912.tmp
- %TEMP%\gmoxjh.exe
- %APPDATA%\windata\eoiikj.exe
- %TEMP%\da.exe
- %TEMP%\me.exe
Удаляет следующие файлы
- %TEMP%\aut41dd.tmp
- %TEMP%\aut4912.tmp
Сетевая активность
TCP
- 'co####temple.com':443
UDP
- DNS ASK co####temple.com
Другое
Создает и запускает на исполнение
- '%TEMP%\onfgxq.exe'
- '%TEMP%\gmoxjh.exe'
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
- '%WINDIR%\microsoft.net\framework\v2.0.50727\regasm.exe'
