Для обеспечения автозапуска и распространения:
- добавляет следующие ключи реестра
AutoUpdate=<SYSTEM32>\pedit.exe
Вредоносные функции
- Дропает dll в TEMP, средствами которой добавляется в автозагрузку и копируется в SYSTEM32.
- Загружает файлы с стороннего сервера и запускает их
Изменения в файловой системе:
- Создает следующие файлы:
<TEMP>\<TEMP>.tmp
- Копирует себя в:
<SYSTEM32>\pedit.exe
- Самоудаляется.
Сетевая активность:
- Подключается к:
- http://.../vvos/gns/index.htm
- http://.../qscs/gns/index.htm