Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MZђ' = '%APPDATA%\MZђ'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\Fonts\unzipfile.scr /install /silent
- %WINDIR%\Fonts\unzipfile.scr (загружен из сети Интернет)
Запускает на исполнение:
- %WINDIR%\sleep.exe 5
- <SYSTEM32>\cmd.exe /c ""<Текущая директория>\123.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\123.bat
- %WINDIR%\Fonts\unzipfile.scr
- %APPDATA%\MZђ
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.on####suicide.info':80
- 'se##chv.kr':80
TCP:
Запросы HTTP GET:
- www.on####suicide.info/upload/dremv/unz.dap
- se##chv.kr/search1/launc.php
UDP:
- DNS ASK www.on####suicide.info
- DNS ASK se##chv.kr
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
