Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\software\Microsoft\Windows\CurrentVersion\Run] '1619fabdd849bcee0f84bbc48a331f59' = '"%TEMP%\VPN\UPDATES\EnCryptedE.exe" ..'
- [<HKLM>\software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '1619fabdd849bcee0f84bbc48a331f59' = '"%TEMP%\VPN\UPDATES\EnCryptedE.exe" ..'
Изменяет следующие исполняемые системные файлы
- %WINDIR%\serviceprofiles\localservice\appdata\roaming\microsoft\upnp device host\upnphost\udhisapi.dll
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\VPN\UPDATES\EnCryptedE.exe" "EnCryptedE.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsy9993.tmp
- %TEMP%\vpn\updates\lower third.mp4
- %TEMP%\vpn\updates\encryptede.exe
Сетевая активность
Подключается к
- 'localhost':5553
UDP
- '23#.#55.255.250':1900
Другое
Ищет следующие окна
- ClassName: '\MSITPro::EventQueue' WindowName: ''
- ClassName: 'Type32_Main_Window' WindowName: ''
- ClassName: 'WMPlayerApp' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\vpn\updates\encryptede.exe'
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\VPN\UPDATES\EnCryptedE.exe" "EnCryptedE.exe" ENABLE' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles(x86)%\windows media player\wmplayer.exe' /Play -Embedding
